记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

垃圾邮件活动滥用SettingContent-ms传播FlawedAmmyy RAT

2018-08-08 12:20

Trend Micro研究人员检测到一起释放FlawedAmmyy RAT (remote access Trojan)的垃圾邮件活动,其中释放的RAT与Necurs传播的RAT完全相同,RAT会安装最终的payload到僵尸主机。研究人员还发现该攻击活动滥用了SettingContent-ms,这是打开Windows设置面板的XML格式快捷方式文件。攻击者将恶意SettingContent-ms文件嵌入到pdf文档中,并释放前面描述的RAT中。

恶意软件的攻击范围主要集中在马来西亚、印度尼西亚、肯尼亚、罗马尼亚、波兰和奥地利等国。

感染链

图片.png

图1. 垃圾邮件攻击活动感染链

攻击活动中的垃圾邮件会使用发票(invoice)、重要公告、副本、扫描图片、安全公告等主题词来诱骗接收者。邮件附件中的pdf附件含有嵌入的js代码和downl.SettingContent-ms文件。用户一旦打开pdf附件,JS代码就会触发SettingContent-ms文件。

而downl.SettingContent-ms一旦打开,Windows就会运行<DeepLink>标签中的powershell命令,其中的命令会从hxxp://169[.]239[.]129[.]117/cal下载FlawedAmmyy RAT。FlawedAmmyy RAT变种与Necurs模块在银行和POS相关的用户域名下安装的RAT完全相同。

图片.png

图2. 垃圾邮件样本中含有js代码和SettingContent-ms的pdf附件

图片.png

图3. Pdf文件打开后会自动执行的嵌入式js代码

图片.png

图4. JS代码打开的嵌入的 “downl.SettingContent-ms”文件

图片.png

图5. 用来打开 “downl.SettingContent-ms”文件的js代码

图片.png

图6. 打开pdf文件后js代码打开的“downl.SettingContent-ms”文件

图片.png

图7. “downl.SettingContent-ms“文件的含有PowerShell命令的内容

FlawedAmmyy RAT

Necurs僵尸网络已经发展成为全球最大的垃圾邮件传播组织。它主要通过邮件发送大量的银行恶意软件、勒索软件、攻击约会网站和股票网站的软件,甚至通过网络钓鱼的方式盗取加密货币钱包凭证的软件。最近,Necurs好像对一些有特定特征的僵尸主机有很大兴趣。7月12日,Necurs想僵尸主机推出一个模块——FlawedAmmyy RAT下载器。该模块会检查域名中是否含有关键词:bank, banc, aloha, aldelo, postilion (见图9).Aloha是一个餐馆的POS系统,Aldelo是iPad POS系统,而Postilion是从ATM到POS,从贸易网站到移动端的全通道支付解决方案。如果僵尸的用户域名与Necurs相匹配,下载器就会从hxxp://169[.]239[.]129[.]117/Yjdfel765Hs下载和执行final payload。

图片.png

图8. 通过cmd命令echo %%USERDOMAIN%%获取僵尸的用户域名

图片.png

图9. 模块检查用户域名中是否含有关键字

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/spam-campaign-abusing-settingcontent-ms-found-dropping-same-flawedammy-rat-distributed-by-necurs/如若转载,请注明原文地址: http://www.hackdig.com/08/hack-52583.htm
知识来源: www.4hou.com/web/12902.html

阅读:42889 | 评论:0 | 标签:Web安全 垃圾邮件

想收藏或者和大家分享这篇好文章→复制链接地址

“垃圾邮件活动滥用SettingContent-ms传播FlawedAmmyy RAT”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词