在四月初,Kaspersky的專家發現有群發電郵散播惡意PDF附件的活動,攻擊者的目標為公司,電郵有英、德、意和法文的版本,目標是透過QBot惡意程式(又名QakBot、QuackBot和Pinkslipbot)感染受害者的電腦。
混入舊對話中散播惡意程式
攻擊透過「騎劫對話」的策略進行,黑客首先取得真正的商用電郵(QBot從前一位受害者電腦盜取儲存在本機的電郵),然後加入對話,向對方發送訊息看似繼續舊的對話,而電郵的內容會嘗試遊說受害者打開附件的PDF,可能是偽裝成支出清單或其他商用文件需要快速作出回應。
事實上該PDF含有仿製的Microsoft Office 365或Microsoft Azure的通知,嘗試獲得受害者點擊到「Open」的按鍵,如果受害者中計,一個被密碼保護的壓縮檔便會下載到電腦(密碼在「notification」的文字檔內),然後收件者便可能解壓檔案並執行內裡的.wsf (Windows Script File),該惡意腳本會從遙距伺服器下載QBot惡意程式,更多詳細技術資料和IoC可以瀏覽Securelist。
QBot是銀行木馬程式
QBot被專家辨別為銀行木馬,它讓攻擊者能收集憑證(登入名稱和密碼)和瀏覽器的cookies、盜取電郵、監視銀行活動和記錄按鍵,它也能夠安裝其他惡意程式,例如加密勒索程式。
注意電郵安全
要防範透上文提到的攻擊,我們建議在公司所有連接互聯網的裝置,都安裝可靠的網絡保安方案,而在電郵gateway設置過濾惡意、釣魚和垃圾電郵的產品,以及增加員工對現代網絡威脅的安全意識,都有助防範來自電郵的威脅。
資料來源:Kaspersky Blog
