随着网络罪犯利用其垃圾邮件技术变得更具创意,看到越来越多的不寻常文件类型被用作文件附件也就不足为奇了,就像Netskope发现的使用ISO映像文件传递两个文件的4月活动一样 臭名昭著的木马:LokiBot和NanoCore。
恶意垃圾邮件以伪造的发票电子邮件的形式出现,该电子邮件指出收件人可以通过打开ISO图像附件来访问帐单。 值得注意的是,发票通常以Word文档或Excel文件的形式发送。 因此,使用ISO图像作为发票非常不寻常。 附件的可疑性质是文件大小。 样本大约为1MB到2MB,考虑到典型的ISO映像往往具有更大的文件大小,这种情况也不常见。
映像中包含可执行负载-用户单击时将其下载到系统上的可执行有效负载-LokiBot(检测为TrojanSpy.Win32.LOKI.THFBFAI)或NanoCore(检测为Backdoor.Win32.NANOBOT.SMY) 附件。
此活动中使用的技术证实,网络分子正在使用各种各样的文件类型来进行电子邮件攻击。 趋势科技在2018年检测到的高级电子邮件威胁包括带有IQY和ARJ文件附件的恶意软件遍布的垃圾邮件。 单击时会自动挂载ISO文件,电子邮件安全解决方案通常会将其列入白名单,因此,网络分子正在尝试使用它。 [阅读:《趋势科技云应用安全报告2018:针对高级电子邮件威胁的高级防御》 LokiBot和NanoCore
LokiBot是一个复杂的恶意软件家族,具有信息窃取和键盘记录功能。 通常在地下做广告,作为窃取密码和加密货币钱包的工具,它已广泛用于各种各样的活动中。
此特定广告系列中使用的变体具有许多功能,可帮助其检测加载位置。 它使用IsDebuggerPresent()函数检测它是否在调试器中运行,并且还测量CloseHandle()和GetProcessHeap()之间的计算时间差,以检查它是否在虚拟机中运行。 除了收集包括Web浏览器信息和登录凭据的数据之外,它还检查Web和电子邮件服务器以及远程管理工具的存在。
另一种有效载荷NanoCore是一种远程访问工具(RAT),它由于具有多种扩展其功能的插件而具有高度的模块化和可定制性。
像LokiBot一样,它在地下论坛中出售,使其可以供其他威胁参与者在自己的攻击中使用。 在此垃圾邮件活动中,NanoCore创建一个互斥对象(互斥体),执行进程注入,并将注册表用于持久性。 与LokiBot有效负载类似,它也尝试检测调试器的存在。 NanoCore的目标是捕获剪贴板数据和击键,并从文档文件中窃取信息。 如何防范恶意电子邮件
尽管LokiBot和NanoCore都是相当先进的恶意软件,但垃圾邮件是它们的主要分发方法。 因此,检测和阻止恶意电子邮件的最佳做法在帮助用户避免恶意软件方面仍然有效。 注意语法和印刷错误。 商业电子邮件,特别是企业与其供应商之间的通信,通常将以专业的方式撰写。 包含明显的语法或印刷错误的电子邮件可能表明它是恶意电子邮件。 仔细检查发件人的电子邮件地址。 确定电子邮件是否真实的最简单方法是检查发件人的电子邮件地址。 如果它不使用发件人组织的官方域,或使用不寻常的电子邮件,则是一个危险信号。 上下文,上下文,上下文。 如果电子邮件内容未能提供有关讨论的上下文(例如单行),并且还包含链接或附件,则很有可能是垃圾邮件尝试。 不要点击或下载。 即使电子邮件看起来合法,也要谨慎行事,避免在确认来源合法之前单击任何链接或下载任何文件。 被黑的电子邮件帐户以前曾被用于鱼叉式网络钓鱼。 由机器学习提供支持的趋势科技电子邮件安全解决方案
为了使组织更容易保护员工免受网络钓鱼和高级电子邮件威胁的侵害,他们可以考虑使用趋势科技™ Cloud App Security ™解决方案之类的电子邮件保护, 它使用机器学习(ML)来帮助检测和阻止垃圾邮件和网络钓鱼的尝试。 它可以检测邮件正文和附件中的可疑内容,并提供沙箱恶意软件分析和文档漏洞检测。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢