为了保持在线安全,每个人都需要识别网络钓鱼电子邮件中通常用于传播恶意软件的恶意附件。随着恶意软件的传播,攻击者创建伪装成发票、邀请、付款信息、运输信息、电子邮件、语音邮件等的垃圾邮件活动。这些电子邮件包含恶意的Word和Excel附件或链接,打开并启用宏后,就会在计算机上安装恶意软件。但是,Office需要您单击“启用编辑”或“启用内容”按钮,然后Word或Excel才能执行文档中的宏,这是您绝对不能做到的。切勿在传入附件上单击“启用内容”为了诱骗用户单击这些按钮,恶意软件传播者会创建包含文本和图像的Word和Excel文档,这些文本和图像指示显示文档时出现问题,然后提示收件人单击“启用内容”或“启用编辑”以正确查看内容。这些恶意附件中的文本和图像组合称为“文档模板”。以下是针对一些更广泛的恶意软件感染的垃圾邮件活动中使用的不同文档模板。请注意,这些文档模板也可以用于不同的恶意软件。此外,这是一个更常见的模板示例,但还有很多其他模板。BazarLoaderBazarLoader是一种以企业为目标的恶意软件,由“TrickBot”特洛伊木马背后的同一组织开发。安装后,攻击者使用BazarLoader/BazarBackdoor远程访问您的计算机,然后可用于攻击您网络的其余部分。当网络被BazarLoader感染时,攻击者通常最终会部署Ryuk勒索软件来加密网络上的所有设备。BazarBackdoor的网络钓鱼电子邮件通常包含指向GoogleDocs和GoogleSheets上的Word或Excel文档的链接。但是,这些GoogleDocs文档会伪装成问题并提示您下载该文档。这个下载实际上是一个安装BazarLoader的可执行文件,如下图。BazarLoader:伪造的GoogleDocs托管插件DridexDridex是一种先进的模块化银行木马,于2014年首次被发现并不断更新。一旦被感染,Dridex将下载不同的模块,这些模块可用于窃取密码、提供对计算机的远程访问或执行其他恶意活动。当Dridex进入网络时,通常会导致部署BitPaymer或Dridex勒索软件攻击。另一个名为WastedLocker的勒索软件也与Dridex相关联,但一家网络安全公司不同意这些评估。与其他恶意软件分发活动不同,Dridex团伙倾向于使用更多格式的文档模板,这些模板显示较小或模糊的内容,并提示您单击以更清楚地查看。例如,下面的模板声明该文档是在早期版本的MicrosoftOfficeWord中创建的,并在下面显示了难以阅读的文档。Dridex:在早期版本的Word中创建,Dridex还使用更多程式化的文档模板,伪装成DHL和UPS运输信息。Dridex:伪造的DHL运输信息最后,Dridex会显示一些难以阅读的付款发票,提示您单击“启用编辑”才能正确查看。Dridex:Intuit的假发票从上面的例子可以看出,Dridex喜欢使用带有公司徽标和信笺的嵌入式文档图像来诱骗用户启用宏。EmotetEmotet是垃圾邮件中分布最广的恶意软件,其中包含恶意Word或Excel文档。一旦被感染,Emotet将窃取受害者的电子邮件,并通过受感染的计算机向世界各地的收件人发送更多垃圾邮件。感染Emotet的用户最终会进一步感染TrickBot和QakBot等特洛伊木马。这两种特洛伊木马都用于窃取密码、cookie、文件并导致组织遭受网络范围的破坏。最终,如果感染了TrickBot,网络很可能会受到Ryuk或Conti勒索软件攻击的影响。对于受QakBot影响的用户,有可能受到ProLock勒索软件的攻击。与Dridex不同,Emotet不在其文档模板中使用实际文档的图像。取而代之的是,他们使用各种模板显示无法正确查看文档的警告框,用户需要单击“启用内容”才能阅读文档。例如,下面显示的“红色黎明”模板声明“此文档受保护”,然后提示您启用内容以阅读它。Dridex:“此文档受保护”模板下一个模板假装无法正确打开,因为它是在“iOS设备”上创建的。Emotet:在iOS设备上创建另一种说法是该文件是在Windows10移动设备上创建的,这是一个奇怪的消息,因为Windows10移动版已经停产一段时间了。Emotet:在Windows10手机上创建下一个模板以假装文档处于“受保护的视图”中,用户需要单击“启用编辑”才能正确查看它。Emotet:ProtectedView下的下一个模板更有趣一些,因为它告诉用户在查看文档之前接受Microsoft的许可协议。Emotet:接受许可协议另一个有趣的模板伪装成MicrosoftOffice激活向导,提示用户“启用编辑”以完成激活Office。Emotet:Office激活向导最后,众所周知,Emotet使用伪装成MicrosoftOffice转换向导的文档模板。Emotet:正如转换向导所见,Emotet没有使用格式化文档模板,而是使用一般警告来尝试说服用户在附件中启用宏。QakBotQakBot或QBot是一种银行木马,通过网络钓鱼活动传播,通常向企业发送恶意MicrosoftWord文档。QakBot是一种模块化木马程序,可以窃取银行信息、安装其他恶意软件或提供对受感染设备的远程访问。与本文中提到的其他特洛伊木马一样,QakBot还与名为ProLock的勒索软件配合使用,该勒索软件通常是攻击的最终负载。QakBot活动倾向于使用比Emotet更多程式化的文档模板。QakBot垃圾邮件活动使用的最常见的伪装模板来自DocuSign,如下所示。QakBot:DocuSign模板其他模板包括假装来自MicrosoftDefender或Word更新和激活屏幕的模板,例如下面的模板。QakBot:Word更新和激活漏洞所有可执行文件附件最后,永远不要打开以.vbs、.js、.exe、.ps1、.jar、.bat、.com或.scr扩展名结尾的附件,因为它们都可以使用在计算机上执行命令。由于大多数电子邮件服务(包括Office和Gmail)都会阻止“可执行”附件,因此恶意软件传播者将它们发送到受密码保护的存档中并在电子邮件中包含密码,这种技术允许可执行附件绕过电子邮件安全网关并到达预期的收件人。JAR附件不幸的是,Microsoft决定默认隐藏文件扩展名,从而允许攻击者诱骗用户运行不安全的文件。因此,BleepingComputer强烈建议所有Windows用户启用文件扩展名的显示。如果您收到一封包含这些可执行文件类型之一的电子邮件,则几乎可以肯定它是恶意的,您应该立即将其删除。本文翻译自:https://www.bleepingcomputer.com/news/security/the-most-common-malicious-email-attachments-infecting-windows/如有转载请注明出处。
