公司的僱主每日可能面對數百封電郵,因此養成快速閱讀和下載附件的習慣,但這種很多人都習以為常的動作就被網絡黑客看上,把惡意檔案包裝成重要文件,其實內含巨集散播IcedID和Qbot銀行木馬。
濫發電郵含文件檔附件
無論是IcedID或Qbot的電郵,都偽裝成商用電郵,通常訛稱兩個情況,第一個情況是攻擊者因為某些原因要求賠償或說要取消操作,附件是一個壓縮後的Excel檔案,檔案名稱是「CompensationClaim」和一串號碼,第二個情況是與付款和合約有關,含有一條指向被入侵網站的連結,內裡含有文件檔。
無論是哪個情況,攻擊者的目的都是遊說受害者打開惡意的Excel檔案和執行巨集,然後下載IcedID或較少見的Qbot到受害者的裝置內。
IcedID和Qbot
IcedID和 QBot兩款銀行木馬早已被發現多年,IcedID在2017年吸引了研究人員的注意,而Qbot則在2008年開始運作,然而攻擊者多年來持續改良他們的技術,例如,IcedID難曾把主要元件收藏在PNG圖檔之內,該技術被稱為隱寫術(steganography),是一種相當難偵測的技術。
現在兩款惡意程式都在地下市集上架販賣,除了他們的製作者,有多個「客戶」也有散播這些木馬程式。惡意程式的主要工作是盜取銀行卡和登入帳號的資料,尤其喜歡商業帳號(所以電郵設計是偽裝商業往來),為了達到目的,木馬程式使用不同的方法,例如:
- 把惡意腳本加入網頁去攔截用戶輸入的資料
- 導用網上銀行用戶到假登入網頁
- 盜取儲存在瀏覽器的資料
Qbot甚至能記錄鍵盤輸入的資料去盜取密碼
很不幸,盜取交易資料並非唯一的麻類等待著受害者,IcedID可以下載其他惡意程式,例如加密勒索程式去感染裝置,而Qbot則能夠盜取電郵,並用作其他的濫發活動,以及讓操作者取得受害者電腦的遙距存取,如果發生在工作的裝置上後果十分嚴重。
小心應對銀行木馬威脅
無論網絡犯罪份子如何有創意,大家也不要被他們的「花招」蒙蔽,兩種濫發活動最後都是倚賴收件者採取具風險的活動,如果他們不打開惡意檔案,並且容許執行巨集,再多的掩眼法也無法作惡,為了減低成為受害者的風險:
- 檢查送件者身份,包括domain name,如果有人自稱是承辦商或公司客戶但使用Gmail地址,便是可疑的例子,又或者你完全不認識送件者,也可以向同事查證。
- 預設禁止巨集,遇到文件要求開啟巨集或其他內容時應視之為可疑,永遠不要執行巨集,除非你能完全肯定安全。
- 安裝可靠的保安方案,如果你在個人裝置上工作,又或者僱主對工作台的安全很鬆懈,先確定裝置是不受到保護,Kaspersky的產品能夠偵測IceID和Qbot。
資料來源:Kaspersky Blog
