垃圾郵件活動中惡意附件使用的新文件類型一覽

新聞 11-01

隨著網路安全防禦能力的不斷提高，網路犯罪分子也已經學會如何讓惡意軟體變得更有創造性。趨勢科技的研究人員最近新發現了一波垃圾郵件活動，攻擊者將惡意附件隱藏在了一些老舊格式但以前很少使用的文件類型中。垃圾郵件目前仍然是網路犯罪的最愛的攻擊方式之一，這種用戶攻擊的垃圾郵件佔全球所有電子郵件流量的48％以上。

在2017年的年度綜合報告中，研究人員發現與惡意軟體相關的垃圾郵件活動中使用的最常見文件類型是.XLS，.PDF，.JS，.VBS，.DOCX，.DOC，.WSF，.XLSX，.EXE和.HTML。但網路犯罪分子正在擴大他們濫用的文件類型。以下詳細介紹了網路犯罪分子如何以全新的方式使用舊文件類型，以試圖逃避垃圾郵件過濾器。

.ARJ和.Z文件

ARJ是「Robert Jung Archived by Robert Jung」的縮寫，是一個與. zip一樣誕生於90年代的檔案壓縮工具，但它的受歡迎程度不及. zip。儘管2014年，就有攻擊者使用.ARJ文件擴展名來通過垃圾郵件發送惡意文件，但研究人員最近看到使用.ARJ文件向用戶傳送惡意文件的數量卻在激增。最近，研究人員檢測到了近7000個在ARJ中壓縮的惡意文件。

具有惡意.ARJ文件附件的垃圾郵件活動的感染過程

帶有.ARJ文件附件的垃圾郵件的屏幕截圖

研究人員最近發現了一個傳播惡意. arj文件的小型垃圾郵件活動。其中一些垃圾郵件的主題與報表或採購訂單相關，例如「和對你的結算餘額表」，「New Order-Snam Thai Son Group // PO // Ref 456789」和「主題:渣打銀行的建議」等等。

將惡意.ARJ文件下載到設備後，它可能會刪除並執行一個普通的可執行文件或一個可執行屏幕保護程序文件。

.Z文件內容

早在2014年，一旦成功解壓縮到系統中，帶有.ARJ文件附件的垃圾郵件活動就會將受感染的計算機作為可用於垃圾郵件或拒絕服務攻擊的殭屍網路的一部分。今年，有效載荷是一種間諜軟體（由趨勢科技檢測為TROJANSPY.WIN32.GOLROTED.THAOOEAH），可竊取系統信息以及來自瀏覽器的用戶名和密碼，此惡意軟體還會嘗試從多個電子郵件服務平台竊取存儲的電子郵件憑證。

網路犯罪分子也惡意使用.Z文件， .Z文件擴展名是壓縮的基於Unix的設備文件，儘管它的用戶受歡迎程度方面已經被GNU Gzip壓縮所取代。因為它看起來有一個雙重文件擴展名（例如.PDF.z），用戶可能會被欺騙，認為他們正在打開的是PDF而不是.Z文件。

偽造的採購訂單的屏幕截圖，其中.Z文件擴展名作為附件

與.ARJ文件一樣，存檔文件可能包含普通的.exe文件和可執行的屏幕保護程序文件。

研究人員看到了一個帶有.Z文件附件的垃圾郵件的攻擊活動，該附件帶有後門載荷（趨勢科技檢測為BACKDOOR.WIN32.REMCOS.TICOGBZ），可以打開、重命名、上傳和刪除受影響的計算機中的文件，記錄鍵盤輸入，甚至使用計算機的攝像頭和麥克風捕捉圖像和聲音。今年早些時候，安全研究人員還發現了一個垃圾郵件活動，該活動通過.Z文件附件向潛在受害者發送了DarkComet RAT。

.PDF文件

使用.PDF文件來傳播惡意軟體並不是什麼新鮮事，事實上，研究人員看到了一個惡意垃圾郵件活動，該活動使用.PDF文件傳播下載器和後門，今年年初時，目標針對的是金融機構。隨著網路犯罪活動的不斷創新，網路犯罪分子似乎渴望在他們的代碼中使用已知的成功技術。最近，研究人員看到網路犯罪分子在.PDF附件中嵌入.IQY文件和.PUB文件。

下載後，將使用JavaScript代碼執行惡意.IQY和.PUB文件。

在JavaScript中執行的.IQY和.PUB文件擴展名的屏幕截圖

這段JavaScript代碼使用exportDataObject函數導出並啟動惡意軟體，在本文的案例中，由「nLaunch」指定，而導出的對象或文件由「cName」指定。「nLaunch = 2」函數表示惡意文件將在啟動之前保存在％TEMP％中。

使用嵌入了.PUB的.PDF文件的惡意活動的感染過程

.IQY文件

Microsoft Excel使用網路查詢文件（IQY）將數據從互聯網提取到電子表格中。為此，將URL嵌入到IQY文件中，此文件便於從指定的網頁中提取數據。而這一特性卻被Necurs殭屍網利用，2018 年5月25日開始， Necurs殭屍網路首次使用武器化的IQY文件附件。在本文的樣本中，.IQY文件被嵌入在.PDF文件中。

在2018年8月15日，研究人員發現了一個垃圾郵件活動，其中傳播了一個帶有.IQY文件的.PDF。趨勢科技僅在印度就檢測到超過58000次的點擊量，而其他國家包括越南、美國、中國和德國也都出現了多次點擊。

惡意垃圾郵件活動的感染鏈，通過濫用.PDF文件中嵌入的.IQY文件來傳播Marap木馬

附加到垃圾郵件活動中使用的.PDF的.IQY文件的屏幕截圖

研究人員最近還看到.IQY文件在日本被濫用，以用來傳播BEBLOH或URSNIF惡意軟體。

.pub文件

如今的垃圾郵件攻擊活動已不會在典型文檔中使用惡意宏文件，因此網路犯罪分子通過使用很少使用的文檔來傳播惡意軟體繼續提高攻擊效率。 8月底發現的惡意垃圾郵件攻擊就使用了一個特殊的Microsoft辦公應用程序MS Publisher。就像嵌入的.IQY文件一樣，打開MS Publisher文件會導致其中的惡意宏文件運行。

顯示內部帶有惡意宏的.PUB文件的代碼的屏幕截圖

在2018年8月21日，研究人員收到了有關垃圾郵件活動的SPN反饋，該活動傳播了嵌入了惡意.PUB文件的.PDF附件。研究人員檢測到攻擊主要發生在印度，占檢測數量的73％以上，其次是英國，佔11％。在越南、中國、土耳其和美國也發現了一些來自此活動的垃圾郵件。

SettingContents-MS文件

隨著Windows 10的發布，名為SettingContent-ms的新文件類型開始出現，該文件通常包含Windows函數的設置內容，主要用於創建舊Windows控制面板的快捷方式。網路犯罪分子利用此功能並將其嵌入Microsoft辦公應用程序並不需要太長時間。7月初的垃圾郵件活動表明，網路犯罪分子將FlawedAmmyy遠程訪問木馬（RAT）傳播到嵌入PDF文檔的惡意SettingContent-ms文件中。