.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
本期熱點“電子發票”木馬類惡意郵件激增本週(2023年7月10日~14日),網際思安麥賽安全實驗室(MailSec Lab)觀察到大量新增的以“電子發票”為主題的特洛伊木馬類惡意郵件,並做了詳細的風險特徵、攻擊溯源等技術研究與分析,請各企事業單位及時做好相關的防護。
2023.07.10~2023.07.1401熱點描述關於此批“電子發票”為主題的病毒樣本郵件,如下圖所示:
圖1. “電子發票”為主題的特洛伊木馬郵件
該郵件通過偽造下載電子發票通知,誘導員工點擊郵件正文中的URL超鏈接,從而下載Trojan Droppers程序。當員工雙擊觸發程序後,該惡意程序將自動連接攻擊者搭建的惡意網站,進一步下載特洛伊木馬病毒,並對計算機進行遠程控制、數據盜竊、內網橫向攻擊等APT攻擊行為。
思安知識小課堂Trojan Droppers是一種惡意軟件,用於傳遞和部署其他惡意軟件或特洛伊木馬(Trojans)。它們通常被設計成看似無害或合法的文件,以欺騙用戶進行下載和執行。一旦Trojan Dropper被執行,它會解壓或下載其他惡意組件並將其安裝到受感染的計算機上,而這些組件可能會執行各種惡意活動,如竊取敏感信息、遠程控制計算機、加密文件等。
Trojan Droppers的主要目標是通過繞過安全防護機制,將惡意軟件引入目標系統。為了達到這個目的,它們常常採用以下策略:
偽裝成合法文件:Trojan Droppers會將自己偽裝成常見的文件類型,如圖像文件、文檔、媒體文件等,以便讓用戶誤以為它們是無害的。
利用安全漏洞:Trojan Droppers可能會利用操作系統或應用程序中的已知漏洞,通過這些漏洞將惡意軟件注入目標系統。
社會工程攻擊:Trojan Droppers有時會利用社會工程技術,通過欺騙用戶進行下載和執行。例如,它們可能會偽裝成電子郵件附件、下載鏈接或彈出廣告等形式出現。
多層加密和混淆:為了逃避安全軟件的檢測,Trojan Droppers通常使用多層加密和混淆技術,使其代碼變得難以分析和檢測。
一旦Trojan Dropper成功投遞並安裝了其他惡意軟件或特洛伊木馬,後者可能會執行各種惡意活動,如數據竊取、遠程控制、密鑰記錄、網絡攻擊等。
圖2. 點擊鏈接後下載Trojan Droppers程序
02專家分析MailSec Lab的技術專家從源IP、URL鏈接、EXE文件風險性、郵件頭、郵件內容等方面,對此郵件的風險特徵進行了詳盡的技術分析。
PART01惡意鏈接的域名提前劃重點使用welljoint.com域名的某高科技公司,通過“新網互聯”網站購買了域名和郵箱服務。但是該郵箱服務器被黑客攻陷,welljoint.com域名被惡意利用為下載Trojan Droppers程序提供服務。
從分析來看,不僅是welljoint.com域名受影響,其他十幾個域名也同時受影響,可能被黑客用於攻擊活動。
通過瀏覽器直接訪問URL鏈接的域名“welljoint.com”,可以了解到使用該域名的公司為一家位於上海的高科技公司,主要為銀行、保險等金融機構提供聯絡中心系統解決方案,曾獲“上海市科技小巨人”和“專精特新中小企業”榮譽。
圖3. 某某科技公司官方網站
對“welljoint.com”域名的Whois信息進行查詢。該域名於2011年5月11日註冊,到期時間為2032年4月17日,域名持有者為“Xin Net Technology Corporation”。
圖4. welljoint.com的Whois信息
進一步調查可知,該域名的持有者“Xin Net Technology Corporation”(新網互聯)為一家提供域名註冊、虛擬主機、網站建設等服務的公司。而通過“天眼查”可以了解到,在welljoint.com域名上建設官方網站的某高科技公司成立於2011年4月21日。結合以上信息,我們可以推斷:該高科技公司成立1個月以後,通過新網互聯公司註冊了域名。
圖5. 通過新網互聯註冊域名
郵件樣本中的惡意URL鏈接為:
http://mail.welljoint.com:81/download/attachment/