相關(guān)詳細(xì)說明：

時(shí)間：2022-03-27 15:48:01 | 來源：行業(yè)動(dòng)態(tài)

時(shí)間：2022-03-27 15:48:01 來源：行業(yè)動(dòng)態(tài)

當(dāng)使用電子郵件時(shí), 一個(gè)陌生的文件擴(kuò)展名--尤其是在ZIP文件中被單獨(dú)壓縮的文件常常是新的惡意軟件的潛在跡象。這次也不例外, 某電子郵件聲稱是上個(gè)月的賬單文件，其中包含壓縮后的.url互聯(lián)網(wǎng)快捷方式文件擴(kuò)展名。這些快捷文件使用是已被證實(shí)的CVE-2016-3353漏洞的變體, 其中包含到 JavaScript文件 (以及多個(gè)最近發(fā)現(xiàn)的惡意Windows 腳本文件) 的鏈接。但是, 在這個(gè)例子中, URL的前綴是 "file://" 而非 "http://", 它通過 Samba 而不是通過 Web 瀏覽器獲取它們。盡管在執(zhí)行該腳本文件之前會(huì)提示用戶，但是這仍然有助于在當(dāng)前用戶的配置文件下使用Windows腳本執(zhí)行其中包含的惡意代碼，而不必利用瀏覽器滲透。遠(yuǎn)程腳本文件為嚴(yán)重混淆，但是一旦用戶允許執(zhí)行該腳本，就會(huì)導(dǎo)致Quant Loader木馬被下載和運(yùn)行。



根據(jù)過去的攻擊案例顯示, Quant Loader是一種通常用于分發(fā)惡意軟件 (如勒索軟件和密碼竊取程序) 的特洛伊木馬程序。它在地下論壇中被銷售, 允許用戶使用管理面板在用戶被感染后配置負(fù)載。在售的可配置惡意軟件正在變得越來越普遍, 這使得惡意軟件的開發(fā)與分發(fā)環(huán)節(jié)分離。

執(zhí)行該Windows腳本后，該腳本的進(jìn)程由多個(gè)子進(jìn)程組成--每一個(gè)都持續(xù)不到一天時(shí)間。它們利用仿冒的電子郵件內(nèi)容和附件文件名稱（有些電子郵件只有主題沒有正文），一個(gè)在 Samba 上提供惡意腳本文件的域, 以及從少數(shù)幾個(gè)域分發(fā)Quant木馬的變體。





Samba 共享可以公開訪問, 但仍處于活動(dòng)狀態(tài), 如下圖所示。有趣的是, 試圖通過 HTTP 訪問 URL 后, 有時(shí)會(huì)導(dǎo)致重定向, 從而導(dǎo)致下載隨機(jī)密鑰生成器文件。幸運(yùn)的是, 這些通常被大多數(shù)防病毒軟件標(biāo)記為惡意文件?；谖覀儗?duì)該惡意軟件的追蹤研究, 它并非每天出現(xiàn)，但是在今年三四月份曾多次出現(xiàn)。



雖然攻擊者試圖設(shè)計(jì)一種新的方法來誘使用戶感染自己, 但這往往會(huì)讓那些具備安全知識(shí)的人更容易地發(fā)現(xiàn)它們。避免點(diǎn)擊電子郵件中您不熟悉的文件類型是一個(gè)很好的起點(diǎn), 當(dāng)然，禁止電子郵件中的腳本運(yùn)行也同樣重要。許多技術(shù)利用社交軟件和未經(jīng)訓(xùn)練或粗心的用戶, 并不是高度復(fù)雜的攻擊。