利用.url洩漏,並誘騙收件人執行的惡意郵件爆發中 2018-03-28

ASRC 本周在亞太地區觀測到大量帶有.url 壓縮附檔的惡意郵件,這些郵件主旨與.zip 壓縮附檔檔名皆以 Purchase_、Order_、PO_、Purchase Order_ 開頭,並包含日期 (27032018)。

這種惡意郵件的特殊之處在於,當收件人在 Windows 下解開附檔,並選取.url檔案時,Windows即會主動向.url要求的位址以SMB通訊協定要求資訊,此時已對遠端惡意主機洩漏收件人使用的IP與其電腦名稱。

該.url檔若在 Windows 系統中被觸發執行,則會詢問是否透過 SMB 通訊協定取得並執行遠端作為Downloader的.wsf檔案。該Downloader會試圖前往:

  • asetcorp[.]com/UyG64G32??AYtVsBi=AYtVsBi

  • kampton[.]com.my/UyG64G32??AYtVsBi=AYtVsBi

  • gotrolhedtsasof[.]com/stsr0/UyG64G32?AYtVsBi=AYtVsBi

取得 AytVsBi[序列數字].exe 檔案,並在下載成功後執行。接著會作如下動作:
1. 複製自身到 %TEMP%/(一串數字)/dwm.exe
2. 註冊 HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN,讓 dwm.exe 自動執行
3. 利用 netsh.exe 設置防火牆規則讓 AytVsBi[序列數字].exe 和 dwm.exe 可對外連線
4. 蒐集電腦資訊(語系、系統時間、磁碟資訊...等)
5. 執行 cacls 對 AytVsBi[序列數字].exe 和 dwm.exe 設定執行權限
6. 透過 HTTP 向 cynagotceter[.]in 取得後續要執行的惡意程式
7. 最終,很可能讓收件者的電腦感染勒索軟體或木馬程式

上一則 回到列表   下一則