近日,来自Trustwave的研究人员发现了一场目的在于传播FlawedAmmyy远程访问木马(RAT)的垃圾电子邮件活动。虽然规模不大,但极具针对性。从电子邮件的收件人地址来看,攻击者的目标似乎是各大银行。
老实说,以银行为目标的垃圾电子邮件活动并不少见,并且通常规模都要比这次的活动大得多。但Trustwave的研究人员表示,之所以这场小规模的活动会引起他们的注意,主要原因有两个:首先,这场活动使用了并不常用的Microsoft Office Publisher文件来感染受害者的系统;其次,这场活动由Necurs僵尸网络提供支持。
Trustwave的研究人员在发表的博客文章中写道:“当我们看到带有.pub附件(Microsoft Office Publisher文件)和主题为‘支付通知书(Payment Advice)’的电子邮件样本时,我们就产生了怀疑。”
Microsoft Office Publisher是微软公司在1991年发行的桌面出版应用软件,且只能用于Windows。再加上有限的页面布局功能,使得它并不被广泛使用。从微软对Publisher的定位来看,它的目标用户主要是那些没有专业人员制作市场推广材料以及其它文档的中小型企业。
在之前被报道的一些垃圾电子邮件活动中,我们通常看到的附件格式普遍都是.doc或.docx、.xls或.xlsx、.pdf,甚至是.iqy,几乎没有看到过.pub的使用,但在这场活动中,这个“罕见”的格式却出现了。
与其他格式的附件类似,打开.pub文件将提示你启用宏。早期版本的Microsoft Publisher可能会显示“Enable Editing" and ”和“Enable Content”的提示信息。
在Microsoft Publisher中手动打开VBA编辑器并单击Project Explorer下的ThisDocument会显示VBScript,而宏脚本会被函数Document_Open()触发。简单来说,当文件打开时,脚本将访问网址并执行下载的文件。
恶意代码使用了表单中的控件对象来隐藏它将访问的网址(用于下载FlawedAmmyy RAT的网址)。如果我们仔细检查属性,会发现这个网址位于Tag属性中。
FlawedAmmyy RAT是一种众所周知的后门工具,允许攻击者在你完全不知情的情况下控制你的设备。在上个月,来自网络安全公司Proofpoint的研究人员在另一场垃圾电子邮件活动中同样发现了FlawedAmmyy RAT,并指出活动是由黑客组织TA505发起的。
虽然Trustwave的研究人员目前并没有明确指出此次活动背后的运营者同样是TA505,但这场活动所传播的相同恶意软件(即FlawedAmmyy RAT)的确已经将与受感染系统相关信息发送给了攻击者,如受害者ID、操作系统版本、用户名和凭证等。
从电子邮件的收件人地址来看,它们都属于银行,这表明攻击者似乎希望通过FlawedAmmyy RAT在目标银行系统内部建立立足点,以便开展下一步攻击活动。