新闻快讯
< >

Matrix勒索软件新变种Fox已发布,正通过远程桌面服务传播

Matrix勒索软件新变种Fox已发布,正通过远程桌面服务传播-E安全

趋势科技在最近发现滥用Web查询文件IQY的恶意活动有所增加,类似于今年6月份利用Necurs僵尸网络分发FlawedAmmyy RAT的垃圾电子邮件活动。网络犯罪分子似乎正是想要利用IQY文件结构简单的特点,以逃避基于结构的安全检测。

由趋势科技最新观察到的滥用IQY文件的垃圾电子邮件来自Cutwail僵尸网络。活动以日本用户为目标,交付了BEBLOH(由趋势科技检测为TSPY_BEBLOH.YMNPV)和URSNIF(由趋势科技检测为TSPY_URSNIF.TIBAIDO)恶意软件。垃圾电子邮件试图利用传统的社会工程来诱骗用户点击附件,比如类似于“payment”、“photos sent”、“photos attached”和“please confirm”这样的主题。该活动于今年8月6日被检测到,并在接下来的几天里共计分发了大约50万封垃圾电子邮件。到了8月9日,垃圾电子邮件的分发量开始急剧减少。

Matrix勒索软件新变种Fox已发布,正通过远程桌面服务传播-E安全

图1. 在2018年8月6日至10日检测到的垃圾邮件数量

感染链

Matrix勒索软件新变种Fox已发布,正通过远程桌面服务传播-E安全

图2.垃圾电子邮件活动的感染链

根据趋势科技对8月6日检测到的第一波垃圾电子邮件的分析,如果用户打开了附件中的IQY文件,那么它接下来将查询包含在其代码中URL。这个Web查询文件会将数据从目标URL提取到Excel文件中,其中包含一个脚本,而该脚本可以滥用Excel的动态数据交换(DDE)功能。如此一来,一个PowerShell进程将能够执行,该进程会检查受感染计算机的IP地址是否来自日本。如果IP地址来自日本,那么BEBLOH或URSNIF将会作为最终payload被下载;但如果IP地址来自其他国家,则不会下载最终的payload。

Matrix勒索软件新变种Fox已发布,正通过远程桌面服务传播-E安全

图3.从8月6日开始分发的第一波垃圾电子邮件的一个示例

在8月8日检测到的第二波垃圾电子邮件中,用于下载最终payload的PowerShell脚本被进行了混淆。这是一种常见的方法,用于使安全解决方案对脚本的分析更加困难。另外,趋势科技还观察到URSNIF已经成为了唯一被下载的payload。除了这些变化之外,该活动的感染链仍然类似于第一波垃圾电子邮件。

Matrix勒索软件新变种Fox已发布,正通过远程桌面服务传播-E安全

图4.从8月8日开始分发的第二波垃圾电子邮件的一个示例

Matrix勒索软件新变种Fox已发布,正通过远程桌面服务传播-E安全

图5.未混淆的PowerShell脚本的代码片段

Matrix勒索软件新变种Fox已发布,正通过远程桌面服务传播-E安全

图6.混淆后的PowerShell脚本的代码片段

BEBLOH和URSNIF

在2016年,BEBLOH和URSNIF 在日本非常活跃。BEBLOH是一种银行木马,旨在从受害者的银行账户中窃取资金。相对应的,URSNIF则是一种因窃取数据而为公众所知的恶意软件,其行为包括挂钩可执行文件以进行浏览器监控,以及使用简单的检查来逃避沙箱检测等。

趋势科技对TSPY_BEBLOH.YMNPV(此活动中的BEBLOH变种)的分析发现,它通过添加注册表项来修改受感染的系统,使其能够在每次系统启动时自动执行,并能够收集以下数据:

  • Explorer文件信息

  • 键盘布局

  • 设备名称

  • 网络配置(IP地址、套接字、端口)

  • 操作系统信息(版本、产品ID、名称、安装日期)

  • 卷序列号

TSPY_URSNIF.TIBAIDO(此活动中的URSNIF变种)除了系统修改之外,还能够收集以下数据:

  • 获取屏幕截图

  • 剪贴板的日志

  • 计算机名

  • Cookie

  • 数字证书

  • 电子邮箱凭证

  • 已安装的设备驱动程序

  • 已安装的程序

  • IP地址

  • 键盘记录

  • 正在运行的进程和服务

  • 系统信息

URSNIF的这个变种能够将窃取的信息保存在一个文件中然后上传、监视互联网浏览活动、挂钩目标进程的API,以及禁用Mozilla Firefox中的协议。如果在虚拟机或沙箱下运行,它还会终止自身进程。