新的垃圾邮件活动滥用SettingContent-ms文件传播FlawedAmmy RAT

新的垃圾邮件活动滥用SettingContent-ms文件传播FlawedAmmy RAT

安全漏洞访客2021-10-11 17:48:003372A+A-

趋势科技最近检测到了一场目的在于传播FlawedAmmy RAT(远程访问木马)的垃圾邮件运动,而这个RAT之前被Necurs僵尸网络作为其最终有效载荷安装在与银行和POS相关的用户域下的bot(“肉鸡”)上。

除此之外,这个垃圾邮件活动还被发现滥用了SettingContent-ms——一个主要用于创建Windows设置页面快捷方式的XML文件。恶意SettingContent-ms文件被发现嵌入在一个PDF文档中,用于释放前面提到的RAT。

图1.7月12日和13日的垃圾邮件数量

根据我们对7月12日和13日发送的垃圾邮件的研究和分析,在收到这些垃圾邮件的电子邮件帐户中,有超过50%属于位于马来西亚、印度尼西亚、肯尼亚、罗马尼亚、波兰和奥地利等国家的银行。

 

感染链 

图2.垃圾邮件活动的感染链

垃圾邮件使用诸如“发票(invoice)”或“重要公告(important announcement)”、“副本(copy)”、“扫描图像(Scanned image)”、“安全公告(security bulletin)”和“这是什么(whats this)”这样的主题来欺骗收件人。

上述邮件中附带的PDF文件包含有嵌入的JavaScript代码和一个“downl.SettingContent-ms”文件,类似于ProofPoint报告中所描述的内容。一旦用户打开了PDF文件,JavaScript代码将自动触发,以打开SettingContent-ms文件。

一旦“downl.SettingContent-ms”文件被打开,Windows将在<DeepLink>标签内运行PowerShell命令,该命令将在执行之前从hxxp://169[.]239[.]129[.]117/cal下载FlawedAmmyy RAT。

图3.垃圾邮件样本,PDF附件包含嵌入的JavaScript代码和SettingContent-ms文件

图4. 嵌入的JavaScript代码,在打开PDF之后将自动触发

图5. 由JavaScript代码打开的“downl.SettingContent-ms”文件

图6.用于打开“downl.SettingContent-ms”文件的JavaScript代码

图7. 嵌入的JavaScript代码在打开PDF之后,将打开“downl.SettingContent-ms”文件

图8. “downl.SettingContent-ms”文件的内容,其中包含用于下载FlawedAmmyy RAT的PowerShell命令

 

垃圾邮件活动与Necurs僵尸网络的关联

最近,Necurs僵尸网络一直对具有特定特征的bot(“肉鸡”)表现出兴趣。在7月12日,Necurs将向它的bot(“肉鸡”)推送了一个模块——一个FlawedAmmyy RAT的下载程序(downloader)。该模块会检查域名是否包含以下任意关键字:bank、banc、aloha、aldelo和postilion(如图10所示)。其中,Aloha是一个餐厅POS系统,Aldelo是一个iPad POS系统,而Postilion是一个解决方案,可以通过各种渠道获取付款或交易,从ATM、POS到电子商务和移动设备。如果bot(“肉鸡”)的用户域符合Necurs的要求,它将从hxxp://169[.]239[.]129[.]117/Yjdfel765Hs下载并执行最终的有效载荷。

 

IoCs

IoC IoC类型 描述
5181ede149a8cd560e9e0958be51ec069b486c87
14efc02509ab12eee08183a8
SHA256 用于检查bot(“肉鸡”)是否与银行或POS相关的Necurs模块
576a373ccb9b62c3c934abfe1573a87759a2bfe26
6477155e0e59f336cc28ab4
SHA256 7月12日和13日在垃圾邮件活动中使用的PDF
42ded82ef563db3b35aa797b7befd1a19ec92595
2f78f076db809aa8558b2e57
SHA256 在7月12日被Necurs模块和垃圾邮件活动释放的FlawedAmmyy RAT
185[.]99[.]132[.]119:443 IP + Port FlawedAmmyy RAT的C&C
hxxp://169[.]239[.]129[.]117/Yjdfel765Hs URL 在Necurs模块中用于下载FlawedAmmyy RAT的URL
hxxp://169[.]239[.]129[.]117/cal URL 包含在PDF文件中嵌入的SettingContent-ms文件中的用于下载FlawedAmmyy RAT的URL
原文:https://blog.trendmicro.com/trendlabs-security-intelligence/spam-campaign-abusing-settingcontent-ms-found-dropping-same-flawedammy-rat-distributed-by-necurs/
点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 鸽吻苍阶2022-05-29 06:30:05
  • 活动释放的FlawedAmmyy RAT185[.]99[.]132[.]119:443IP + PortFlawedAmmyy RAT的C&Chxxp://169[.]239[.]129[.]117/Yjdfel765HsURL在Necurs模块中用于下载FlawedAmmyy RAT的
  • 假欢甜吻2022-05-29 06:45:51
  • )上。除此之外,这个垃圾邮件活动还被发现滥用了SettingContent-ms——一个主要用于创建Windows设置页面快捷方式的XML文件。恶意SettingContent-ms文件被发现嵌入在一个P

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理