垃圾郵件活動濫用SettingContent-ms傳播FlawedAmmyy RAT

Trend Micro研究人員檢測到一起釋放FlawedAmmyy RAT (remote access Trojan)的垃圾郵件活動，其中釋放的RAT與Necurs傳播的RAT完全相同，RAT會安裝最終的payload到殭屍主機。研究人員還發現該攻擊活動濫用了SettingContent-ms，這是打開Windows設置面板的XML格式快捷方式文件。攻擊者將惡意SettingContent-ms文件嵌入到pdf文檔中，並釋放前面描述的RAT中。

惡意軟體的攻擊範圍主要集中在馬來西亞、印度尼西亞、肯亞、羅馬尼亞、波蘭和奧地利等國。

感染鏈

圖1. 垃圾郵件攻擊活動感染鏈

攻擊活動中的垃圾郵件會使用發票（invoice）、重要公告、副本、掃描圖片、安全公告等主題詞來誘騙接收者。郵件附件中的pdf附件含有嵌入的js代碼和downl.SettingContent-ms文件。用戶一旦打開pdf附件，JS代碼就會觸發SettingContent-ms文件。

而downl.SettingContent-ms一旦打開，Windows就會運行標籤中的powershell命令，其中的命令會從hxxp://169[.]239[.]129[.]117/cal下載FlawedAmmyy RAT。FlawedAmmyy RAT變種與Necurs模塊在銀行和POS相關的用戶域名下安裝的RAT完全相同。

圖2. 垃圾郵件樣本中含有js代碼和SettingContent-ms的pdf附件

圖3. Pdf文件打開後會自動執行的嵌入式js代碼

圖4. JS代碼打開的嵌入的 「downl.SettingContent-ms」文件

圖5. 用來打開 「downl.SettingContent-ms」文件的js代碼

圖6. 打開pdf文件後js代碼打開的「downl.SettingContent-ms」文件

圖7. 「downl.SettingContent-ms「文件的含有PowerShell命令的內容

FlawedAmmyy RAT

Necurs殭屍網路已經發展成為全球最大的垃圾郵件傳播組織。它主要通過郵件發送大量的銀行惡意軟體、勒索軟體、攻擊約會網站和股票網站的軟體，甚至通過網路釣魚的方式盜取加密貨幣錢包憑證的軟體。最近，Necurs好像對一些有特定特徵的殭屍主機有很大興趣。7月12日，Necurs想殭屍主機推出一個模塊——FlawedAmmyy RAT下載器。該模塊會檢查域名中是否含有關鍵詞：bank, banc, aloha, aldelo, postilion (見圖9).Aloha是一個餐館的POS系統，Aldelo是iPad POS系統，而Postilion是從ATM到POS，從貿易網站到移動端的全通道支付解決方案。如果殭屍的用戶域名與Necurs相匹配，下載器就會從hxxp://169[.]239[.]129[.]117/Yjdfel765Hs下載和執行final payload。

圖8. 通過cmd命令echo %%USERDOMAIN%%獲取殭屍的用戶域名

圖9. 模塊檢查用戶域名中是否含有關鍵字

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！