记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

垃圾邮件用.EGG文件传播GandCrab v4.3勒索软件

2018-09-04 12:20

Trend Micro研究人员发现攻击者滥用EGG (.egg)文件来传播GandCrab v4.3勒索软件的活动。EGG是一种与zip类似的压缩文件格式,大多数国家是不常用.EGG文件格式的,而在韩国EGG文件是广泛应用的。垃圾邮件活动背后的运营者主要攻击的区域也是韩国用户,因为垃圾邮件的主题、主体和附件名都使用了Hangul(一款由韩软公司Hansoft开发,在韩国人人皆知,人人必备的一款Office软件)。

图1. 攻击活动中的垃圾邮件样本,邮件主题为英文“[Fair Trade Commission] Notice of Investigation of Violation of E-Commerce Transaction”

垃圾邮件伪装成违反电子交易的调查。邮件主题摘要为不公平电子交易通知已经发送给总部。同时,附件中的EGG文件为Notification of e-commerce violation,EGG格式的文件可以用ALZip文件解压缩。

感染链

研究人员2018年8月7日发现了这些垃圾邮件。通过分析样本发现,附件EGG文件含有三个文件,2个.lnk快捷方式文件和一个exe文件,lnk文件会伪装成文档,而exe文件会在用户解压缩EGG文件后会自动删除。在lnk文件中插入了VenusLocker_korean.exe文件,也就是说VenusLocker组织是该垃圾邮件活动背后的传播者。

图2. EGG文件内容

如果用户被诱骗解压EGG文件,并随后打开两个伪装为doc文件的lnk文件。然后执行lnk中隐藏的GandCrab恶意软件。连接到C2服务器后,GandCrab v4.3勒索软件会加密被感染的机器中的文件。

图3. 感染链

图4. GandCrab v4.3勒索信息

Trend Micro数据表明GandCrab是2018年3月到7月逐渐检测数量最多的勒索软件家族。用户和企业会采纳最佳实践来消除感染这些主流勒索软件的风险。

如果用户需要恢复加密的文件,而且不能访问安全备份,那么用户就会被迫使访问支付勒索赎金的网站,并支付赎金给勒索者。

Trend Micro分析,GandCrab勒索软件攻击活动背后的攻击者的目标好像就是韩国用户,因为如果在韩国收到EGG附件,用户可能毫不犹豫就打开了,而在其他国家收到这样的附件,用户可能就不会打开了。

IoCs

LNK_GANDCRAB.E (SHA256: 9d932a98c37b9a5454d3ba32596ef0292f55d3f7b3f9831a39df526ad1e686aa)

Ransom_GANDCRAB.TIAOBHO (SHA256: 8163602357b51402b8e34b385b0228ac4a603e19c6c8006e1c7a7a8099450742)

TROJ_GANDCRAB.TICABAK (SHA256: f6013b930287d6fdb7d1d403396e4362e34a8d70192ba97b1f35ad97f99552c0)

本文翻译自:https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/-egg-files-in-spam-delivers-gandcrab-v4-3-ransomware-to-south-korean-users如若转载,请注明原文地址: http://www.hackdig.com/09/hack-52807.htm
知识来源: www.4hou.com/typ/13193.html

阅读:109856 | 评论:0 | 标签:勒索软件 垃圾邮件

想收藏或者和大家分享这篇好文章→复制链接地址

“垃圾邮件用.EGG文件传播GandCrab v4.3勒索软件”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词