郵件送pos機,垃圾郵件活動濫用SettingContent

 新聞資訊  |   2023-05-17 10:03  |  投稿人:pos機之家

網(wǎng)上有很多關于郵件送pos機,垃圾郵件活動濫用SettingContent的知識,也有很多人為大家解答關于郵件送pos機的問題,今天pos機之家(www.dsth100338.com)為大家整理了關于這方面的知識,讓我們一起來看下吧!

本文目錄一覽:

1、郵件送pos機

郵件送pos機

我們目前有檢測到一起釋放FlawedAmmyy RAT (遠程訪問木馬)的垃圾郵件活動,其中這個釋放RAT之前被Necurs僵尸網(wǎng)絡作為其最終有效載荷安裝在與銀行和POS相關的用戶域下的bot(“肉雞”)上。研究人員還發(fā)現(xiàn)該攻擊活動濫用了SettingContent-ms,這是打開Windows設置面板的XML格式快捷方式文件。攻擊者將惡意SettingContent-ms文件嵌入到pdf文檔中,并釋放前面描述的RAT中。

7月12日和13日的垃圾郵件數(shù)量

根據(jù)對7月12日和13日發(fā)送的垃圾郵件的研究和分析,惡意軟件的攻擊范圍主要集中在馬來西亞、印度尼西亞、肯尼亞、羅馬尼亞、波蘭和奧地利等國。

感染鏈

垃圾郵件活動的感染鏈

攻擊活動中的垃圾郵件會使用“發(fā)票(invoice)”、“重要公告(important announcement)”、“副本(copy)”、“掃描圖像(Scanned image)”、“安全公告(security bulletin)”和“這是什么(whats this)”等主題詞來誘騙接收者。郵件附件中的PDF附件含有嵌入的JavaScript代碼和downl.SettingContent-ms文件。用戶一旦打開PDF附件,JS代碼就會自動觸發(fā)然后打開SettingContent-ms文件。

而downl.SettingContent-ms一旦打開,Windows就會運行標簽中的powershell命令,其中的命令將在執(zhí)行之前從hxxp://169[.]239[.]129[.]117/cal下載FlawedAmmyy RAT。 FlawedAmmyy RAT變種與Necurs模塊在銀行和POS相關的用戶域名下安裝的RAT完全相同。

垃圾郵件樣本,PDF附件包含嵌入的JS代碼和SettingContent-ms文件

PDF文件打開后會自動執(zhí)行的嵌入式js代碼

JS代碼打開的嵌入的 “downl.SettingContent-ms”文件

用來打開 “downl.SettingContent-ms”文件的JS代碼

開PDF文件后JS代碼打開的“downl.SettingContent-ms”打文件

“downl.SettingContent-ms“文件的含有PowerShell命令的內(nèi)容

此元素使用帶參數(shù)的任何二進制檔案并執(zhí)行它,這意味著攻擊者可以將『control.exe』替換為可以執(zhí)行任何命令的惡意腳本,包括cmd.exe和PowerShell,無需使用者互動。

垃圾郵件活動與Necurs僵尸網(wǎng)絡的關聯(lián)

最近,Necurs僵尸網(wǎng)絡已經(jīng)發(fā)展成為全球最大的垃圾郵件傳播組織。它主要通過郵件發(fā)送大量的銀行惡意軟件、勒索軟件、攻擊約會網(wǎng)站和股票網(wǎng)站的軟件,甚至通過網(wǎng)絡釣魚的方式盜取加密貨幣錢包憑證的軟件。Necurs僵尸網(wǎng)絡好像對具有特定特征的僵尸主機(bot“肉雞”)表現(xiàn)出很大的興趣。在7月12日,Necurs將向它的bot推送了一個模塊——一個FlawedAmmyy RAT的下載程序(downloader)。該模塊會檢查域名是否包含以下任意關鍵字:bank、banc、aloha、aldelo和postilion。其中,Aloha是一個餐廳POS系統(tǒng),Aldelo是一個iPad POS系統(tǒng),而Postilion是一個解決方案,可以通過各種渠道獲取付款或交易,從ATM、POS到電子商務和移動設備。如果bot的用戶域符合Necurs的要求下載器就會從hxxp://169[.]239[.]129[.]117/Yjdfel765Hs下載和執(zhí)行final payload。

模塊通過cmd命令echo %%USERDOMAIN%%獲取bot的用戶域

模塊檢查用戶域名中是否含有關鍵字

專家基于電子郵件訊息以及payload將這個惡意垃圾郵件活動歸屬于TA505威脅實體。

TA505大規(guī)模經(jīng)營,它躲在其他主流活動背后,它利用Necurs殭尸網(wǎng)絡提供其他惡意軟件,包括Locky勒索軟件、Jaff勒索軟件和Dridex銀行木馬。

總結(jié):

無論是成熟的(如TA505)還是更新的空間,當惡意軟件作者和研究人員發(fā)布的新的POC時,攻擊者會迅速采用新的技術和方法。雖然并非所有新方法都能有效利用,但有些可能成為威脅實體輪換的常規(guī)因素,因為他們尋求新的手法來散播惡意軟件或竊取憑證以獲取經(jīng)濟利益。在這種情況下,我們認為TA505作為早期采用者,將SettingContent-ms檔案的濫用調(diào)整為基于PDF的大規(guī)模攻擊。

作者:WF曲速未來安全區(qū);本文僅代表作者觀點,不代表鏈得得官方立場。

以上就是關于郵件送pos機,垃圾郵件活動濫用SettingContent的知識,后面我們會繼續(xù)為大家整理關于郵件送pos機的知識,希望能夠幫助到大家!

轉(zhuǎn)發(fā)請帶上網(wǎng)址:http://www.dsth100338.com/news/44239.html

你可能會喜歡:

版權聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻,該文觀點僅代表作者本人。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權/違法違規(guī)的內(nèi)容, 請發(fā)送郵件至 babsan@163.com 舉報,一經(jīng)查實,本站將立刻刪除。