俄羅斯遭遇新一波勒索軟體垃圾郵件
在2019年1月觀察到的惡意JavaScript電子郵件附件數量增加之中,ESET研究人員發現大量針對俄羅斯使用者的傳播勒索軟體的垃圾郵件。
2019年1月,惡意JavaScript電子郵件附件的檢測率急劇上升,這是一種在2018年大多數時間處於休眠狀態的攻擊媒介。在依賴此向量的惡意垃圾郵件活動的“新年版”中,我們發現了一波新的俄語垃圾郵件,分發名為Shade或Troldesh的勒索軟體,ESET檢測為Win32/Filecoder.Shade。
該攻擊行動是2018年10月開始分發Shade勒索軟體的惡意垃圾郵件活動的後續。
一、2019年1月行動
我們的遙測顯示2018年10月的攻擊活動一直持續到2018年12月下旬,在聖誕節期間休息,然後在2019年1月中旬恢復且規模翻番,如圖1所示。圖中的下降點與週末一致,這表明攻擊者熱衷於歡公司的電子郵件地址。
圖1 – 自2018年10月以來檢測傳播Win32/Filecoder.Shade的惡意JavaScript附件
如前所述,此行動是我們從2019年初開始觀察到的一個更大趨勢的一部分 – 惡意JavaScript附件作為一種廣泛使用的攻擊媒介的迴歸。圖2顯示了我們遙測中看到的發展趨勢。
圖2 – 在過去的一年中檢測到通過電子郵件附件分發的惡意JavaScript,所有這些都被檢測為JS/Danger.ScriptAttachment
特別值得注意的是,2019年1月傳播Shade勒索軟體的活動在俄羅斯最為活躍,佔這些惡意JavaScript附件總數的52%。其他受影響的國家是烏克蘭、法國、德國和日本,如圖3所示。
圖3 – 2019年1月1日到2019年1月24日期間傳播Win32 / Filecoder.Shade的惡意JavaScript附件的分佈(ESET檢測)
根據我們的分析,2019年1月行動中的典型攻擊始於傳送一封用俄語寫的電子郵件,附件是一份名為“info.zip”或“inf.zip”的ZIP包。
這些惡意電子郵件為訂單更新,看起來是來自合法的俄羅斯組織。我們看到的電子郵件冒充俄羅斯銀行B&N Bank(注:最近與Otkritie Bank合併)和零售連鎖店Magnit。在ESET系統檢測到的其中一封電子郵件中,翻譯為:
主題:訂單詳情
你好!
我正在向您傳送訂單的詳細資訊。檔案見附件。
Denis Kudrashev,經理
圖4 – 2019年1月攻擊中使用的垃圾郵件示例
ZIP存檔包含名為“Информация.js”的JavaScript檔案(即“資訊”)。一旦提取並啟動,JavaScript檔案就會下載惡意載入程式,ESET產品檢測為Win32/Injector。惡意載入程式解密並啟動最終的有效載荷—Shade勒索軟體。
惡意載入器從被感染的合法WordPress站點下載偽裝成影象檔案。為感染WordPress頁面,攻擊者使用自動機器人進行的大規模密碼暴力攻擊。我們的遙測資料顯示了數百個這樣的URL,所有這些URL都以字串“ssj.jpg”結尾,託管惡意載入器。
載入程式使用聲稱由Comodo釋出的無效數字證書進行簽名,如圖5所示。“簽名者資訊”中的名稱和時間戳對於每個樣本都是唯一的。
圖5 – 惡意載入器使用的假數字簽名
除此之外,載入器試圖通過偽裝成合法的系統程序Client Server Runtime Process(csrss.exe)來進一步偽裝自己。它將自身複製到C:\ProgramData\Windows\csrss.exe,其中“Windows”是由惡意軟體建立的隱藏資料夾,通常不在ProgramData中。
圖6 – 惡意軟體冒充系統程序並使用從合法Windows Server 2012 R2二進位制檔案複製的版本詳細資訊
二、Shade勒索軟體
此惡意行動的最終載荷是加密勒索軟體,稱為Shade或Troldesh。 2014年末首次出現,但經常重新改進,勒索軟體加密本地驅動器上的多種檔案型別。在最近的行動中,勒索軟體將副檔名.crypted000007附加到加密檔案中。
贖金說明以TXT檔案(俄語和英語)呈現給受害者,該檔案被釋放到受影響計算機上的所有驅動器。贖金票據的措辭與先前報道的2018年10月攻擊活動的措辭相同。
圖7 – 2019年1月的Shade勒索軟體贖金條
三、如何保持安全
為避免成為惡意垃圾郵件的受害者,請在開啟任何附件或點選連結之前始終驗證電子郵件的真實性。如有必要,請與使用其官方網站上提供的聯絡方式傳送電子郵件的機構聯絡。
對於Gmail使用者,瞭解Gmail近兩年來一直在阻止接收和傳送的電子郵件中的JavaScript附件可能會很有用。
其他電子郵件服務的使用者(包括公司郵件伺服器)必須依賴他們的意識 – 除非他們使用一些能夠檢測和阻止惡意JavaScript檔案的安全解決方案。
ESET安全產品中的幾個不同模組可獨立檢測和阻止惡意JavaScript檔案。
為避免WordPress網站遭到入侵,請使用強密碼和雙因素身份驗證,並確保定期更新WordPress本身以及WordPress外掛和主題。
IoCs
惡意ZIP附件的示例雜湊值
ESET 檢測名: JS/Danger.ScriptAttachment
JavaScript下載程式的示例雜湊
ESET檢測名: Win32/Injector
Shade勒索軟體的示例雜湊值
ESET檢測名: Win32/Filecoder.Shade
託管Shade勒索軟體的URL中的特定字串