攻防最前線:旨在傳播Shade勒索軟體的俄文垃圾郵件行動
網路安全公司ESET於近日發文稱,在進入2019年1月以來,附件包含惡意JavaScript指令碼的垃圾電子郵件數量開始大幅上升,而這種攻擊載體在2018年幾乎很少出現。在2019年1月的監測中,ESET公司的安全專家發現了大量採用俄文編寫的垃圾電子郵件,它們旨在傳播一種被稱為“Shade”(或“Troldesh”,由ESET檢測為Win32/Filecoder.Shade)的勒索軟體。
初步調查結果顯示,這似乎是在2018年10月爆發的一起旨在傳播Shade勒索軟體的惡意垃圾電子郵件活動的後續行動。
垃圾電子郵件活動分析
根據ESET公司的監測資料顯示,在2018年10月份爆發的垃圾電子郵件活動一直持續到2018年12月下旬才略顯平息(在聖誕節期間只有很少的傳送量)。但是,從2019年1月中旬開始,每天的傳送量開始成倍增加。
自2018年10月以來,旨在傳播Shade勒索軟體的垃圾電子郵件數量統計
正如文章一開始所描述的那樣,另一種趨勢是,附件包含惡意JavaScript指令碼的垃圾電子郵件的“再度崛起”(被用作攻擊載體)。
在過去的一年裡,由ESET檢測到的通過電子郵件附件傳送的惡意JavaScript指令碼數量統計
尤其值得注意的是,2019年1月旨在傳播Shade勒索軟體的垃圾電子郵件活動在俄羅斯表現得最為活躍,佔所有惡意JavaScript附件的52%。其他受影響的國家還包括烏克蘭、法國、德國和日本,如下圖所示。
在2019年1月1日至1月24日期間,旨在傳播Shade勒索軟體的JavaScript附件數量統計
垃圾電子郵件的附件通常是一個名為“info.zip”或“inf.zip”的ZIP壓縮檔案,以“訂單”為主題,偽裝成來自某些合法的俄羅斯企業。比如,B&N銀行和俄羅斯連鎖商店Magnit。
垃圾電子郵件示例
惡意載入程式分析
ZIP壓縮檔案通常包含一個名為“Информация.js”的JavaScript檔案(意為“資訊”)。一旦提取並啟動,這個JavaScript檔案就會下載一個惡意載入程式(由ESET檢測為Win32/Injector),進而解密並啟動最終的有效載荷,即Shade勒索軟體。
根據ESET安全專家的說法,這個惡意載入程式是從一個被黑掉的合法WordPress網站頁面下載的,偽裝成一個圖片檔案。為了黑掉這個WordPress網站頁面,攻擊者使用了密碼暴力破解攻擊。
ESET的安全專家表示,他們共發現了數百個這樣的網頁,所有這些網頁的網址都以字串“ssj.jpg”結尾,用於託管惡意載入程式。
此外,惡意載入程式還使用了聲稱由Comodo頒發的數字證書進行簽名,但實際上是無效的——“簽名者資訊”中的名稱和時間戳對於不同的樣本來說,都是唯一的。
惡意載入程式使用的虛假數字簽名
除此之外,惡意載入程式還試圖偽裝成合法的系統程序csrs.exe(微軟客戶端、服務端執行時子系統,Windows的核心程序之一)。為此,它把自己複製到“C:\ProgramData\Windows\csrss.exe”,其中“Windows”是惡意載入程式建立的隱藏資料夾,導致你通常無法在ProgramData資料夾中看到它。
惡意載入程式偽裝成系統程序,使用從合法的Windows Server 2012 R2二進位制檔案複製的版本資訊
Shade勒索軟體分析
如上所述,這場惡意垃圾電子郵件活動的最終有效載荷是Shade勒索軟體。該勒索軟體首次出現是在2014年年末,並在之後經常出現,它能夠對本地驅動器上的多種格式的檔案進行加密。在2019年1月的活動中,它會將副檔名“.crypted000007”附加到被加密檔案的檔名中。
勒索信以TXT檔案(俄語和英語)呈現給受害者,該檔案會出現在所有被加密檔案所處的資料夾中,而勒索信的內容與之前出現在2018年10月活動中的勒索信的內容完全一致。
出現2019年1月活動中的Shade勒索軟體勒索信
如何避免遭受侵害
一如既往,想要避免成為此類惡意垃圾電子郵件的受害者,請在開啟任何附件或點選任何連結之前務必驗證電子郵件的真實性。如有必要,請與發件人所在公司的官方網站提供的聯絡方式與對方取得聯絡。
鑑於在這場惡意垃圾電子郵件活動中攻擊者還破壞了一些合法WordPress網站頁面,為避免你的WordPress網站遭到入侵,請務必使用強密碼和雙因素身份驗證,並確保定期更新網站本身以及同時使用的WordPress外掛和主題。
宣告:本文來自黑客視界,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。