威胁列表：最危险的附件类型知多少？

从传播Gandcrab的ZIP附件到分发Trickbot的DOC文件，研究人员追踪了2019年使用恶意附件的五个大规模垃圾邮件活动。F-Secure的研究人员已追踪到目前为止在2019年使用的与垃圾邮件相关的顶级附件和广告系列。

此外，研究人员注意到光盘映像文件（存储整个磁盘的内容和结构的ISO或IMG文件，如DVD或蓝光）越来越多地用于传播恶意软件。据研究人员称，在越来越多的小型广告系列中发现了AgentTesla恶意软件和NanoCore远程访问木马。

垃圾邮件活动于2019年跟踪

F-Secure的研究人员近日在一篇文章中说道：“在2月和3月，我们看到了大量垃圾邮件活动，使用ZIP文件发送GandCrab勒索软件，DOC和XLSM文件分发Trickbot银行木马。” “在同一时期，我们看到了针对美国运通的同样大型广告系列，以及使用PDF文件附件的'Winner'骗局。”

ZIP文件传播GandCrab

研究人员表示，在2月和3月有大量的垃圾邮件活动传播臭名昭着的GandCrab勒索软件。这些广告系列使用的是ZIP文件，旨在向某人发送照片。

但是，实际上ZIP文件包含一个模糊的JavaScript下载程序，它执行下载并执行GandCrab勒索软件二进制文件的PowerShell脚本。如果有效载荷成功下载并执行，则它会加密受害者的机器并显示勒索软件注释（如下）。

DOC / XLSM文件提供Trickbot

研究人员还注意到，3月份以税收为主题的垃圾邮件活动大幅增加，这些活动利用DOC和XLSM文件来提供Trickbot模块化银行木马。这封电子邮件宣称该活动的目的是提供税收账单记录，其中包含带有恶意宏的office doc附件，该宏使用bitsadmin工具下载并执行有效负载。BitsAdmin是一个合法的命令行工具，可用于创建下载或上传作业并监视其进度。

研究人员表示，一旦下载并执行，Trickbot样本就开始执行，并在受害者的机器上创建模块，窃取“尽可能多的数据”包括银行凭证等。

TrickBot金融恶意软件最初是在2016年发现的，当最近几个广告系列展示了其发展背后的快节奏演变。研究人员已经注意到恶意软件的新代码注入技术，更新的信息窃取模块和自定义重定向方法。

美国运通网络钓鱼中使用的PDF文件

3月份另一个受欢迎的垃圾邮件活动围绕着利用PDF文件定位美国运通客户的网络钓鱼攻击。

研究人员表示：“使用PDF的图表中最高峰之一是3月份针对美国运通的网络钓鱼活动。”

该电子邮件声称来自美国运通，称受害者的帐户已被标记，并且标有“正在审核中”的PDF文件。当打开此PDF文件时会显示一个链接，引导用户假装“安全消息”来自美国运通名片客户安全团队。实际上，该链接会将受害者带到一个带有缩短URL的恶意登录页面，通过这个假的页面询问受害者的银行凭据进一步欺骗他们。

用于“Winner诈骗”的PDF文件

研究人员还发现了一个“Winner”骗局，表示这是第二高的广告系列，使用通过电子邮件传播的PDF文件附件。

声称由Google发送的附件告诉受害者他们赢得了由Google基金会和软件产品促进基金会组织的140万美元的电子邮件在线抽奖活动。

该表格随后要求提供个人详细信息，并且受害者可以通过电子邮件将其付款验证信息发送给Google首席执行官Sunday Pichai，电子邮件地址为“sundarpicha@gmail.com”。

“这个骗局要求受害者提供个人详细信息，如全名、地址、国家/国籍、电话/手机号码、职业、年龄/性别和私人电子邮件地址。”研究人员说。

电子邮件末尾的消息告诉受害者：“出于安全原因，建议您将此通知保密，作为我们预防措施的一部分，以避免双重索赔和无理滥用此程序。”

ISO和IMG提供AgentTesla

有趣的是，研究人员表示他们已经注意到自2018年7月以来使用光盘映像文件（ISO和IMG文件）传播恶意软件的攻击者数量激增。ISO映像文件是CD数据和布局的快照，而各种光盘成像应用程序创建的IMG光盘映像文件。

最值得注意的是，研究人员已经看到越来越多使用这种技术来提供AgentTesla信息窃取器恶意软件和NanoCore RAT的活动， 尽管规模较小。

“有趣的是，我们还看到最近的垃圾邮件活动提供了两种类型的附件：恶意办公室文档和ISO映像文件都安装了AgentTesla信息输出器。”

在这些活动中，一个有意义的文档会执行一个宏来下载和执行有效载荷，而ISO文件中包含恶意二进制文件。

“无论受害者选择打开两种附件类型中的哪一种，都要安装AgentTesla一种能够从流行的已安装软件（如浏览器、电子邮件客户端和ftp客户端）收集受害者系统信息和凭据的信息输出器。”研究人员。

垃圾邮件活动不断发展

垃圾邮件活动继续采用新的策略使其更难以发现，并且使用新类型的附件（例如上述ISO映像文件）只会使攻击者更容易欺骗受害者。

垃圾邮件活动中使用的常见附件

事实上，根据最近的研究，垃圾邮件是网络犯罪分子在2018年整体传播恶意软件的最常用方法，占全年每10次感染企业中的9起。

大约69％的垃圾邮件活动试图欺骗用户访问恶意URL以下载恶意软件文件或提交另一个导致感染的在线操作。其余31％的广告系列使用了恶意附件。

“恶意软件作者倾向于在他们的活动中更喜欢特定类型的文件附件来分发恶意内容。”F-Secure的研究人员强调说。

来源：https://threatpost.com/threatlist-top-5-most-dangerous-attachment-types/144635/