一种新型恶意软件Dropper出现在Excel等文件中,通过钓鱼邮件传播。Dropper是一种恶意软件,可将Payload部署到受感染的主机,并被许多攻击者使用。在2022年第二季度,研究人员发现了几个活跃的植入程序,例如MicrosoftExcel文件,以及Windows快捷方式文件和ISO文件。通过结合社会工程学的攻击方式,引诱受害者触发坠落。最近使用这些植入程序的恶意软件系列包括Emotet、Qbot和Icedid等。通过钓鱼邮件传播Dropper钓鱼邮件有3种传播方式,例如:附加Dropper或加密的ZIP文件、附加HTML文件、打开Dropper后执行。每种方法都会发送恶意文件。交付给受害者并被诱骗打开它,如下所示:加密的ZIP文件作为附件HTML文件嵌入下载链接作为附件文本研究人员发现前两个使用了一种称为“HTML走私”的技术,该技术利用恶意数据由合法编码HTML5和JavaScript函数。正如你在下面看到的,当受害者在浏览器中打开时,数据块被转换为植入器:HTML走私该技术于5月首次被发现,电子邮件中包含HTML走私网页的下载链接。到6月,HTML走私网页作为附件直接发送给受害者。Dropper(1)用于Excel4.0宏的Excel文件这个Excel文件并不新鲜,它在去年被Emotet大量使用。样本中部分工作表被隐藏,如下图,包含恶意代码的工作表名为IJEIGOPSAGHHSPHP。A1单元格内容为Auto_Open9939689536899569357795948589489469636486898953895396378943986,内置宏代码,打开文件后会自动通过单元格执行公式。该示例调用名为URLDownloadToFileA的API从多个不同的URL下载恶意软件,而实际负载是一个DLL文件,由regsvr-32.exe执行。隐藏表中的恶意公式(2)LNK文件如下图所示,样本在目标字段中包含一段PowerShell代码片段。PowerShell代码将base64字符串转换为包含多个URL的脚本代码。然后通过每个URL下载恶意软件并通过Regsvr-32.exe执行。target属性捕获其他包含不同恶意代码的样本,如下图:恶意代码执行下图显示了另一段PowerShell代码,数据被解码为.HTAURL并通过mshta.exe执行。随后,HTA文件中的VBScript代码提取出包含加密数据的PowerShell代码,转换为脚本代码,下载执行。恶意代码执行(三)ISO文件攻击者将恶意DLL文件和恶意LNK文件同时放入ISO文件中,如下图所示。DLL文件被设置为隐藏文件,默认情况下在文件资源管理器中不可见,而LNK文件通过Rundll32.exe执行恶意DLL文件。恶意DLL文件和LNK文件都在ISO文件中。结论文章中提到的投放程序被多个恶意软件家族使用,如下所示。4月初,攻击者仅使用Excel文件进行攻击。紧接着,4月23日,Emotet利用LNK文件进行攻击的第一个样本被抓获,并在5月迅速被Qbot和Icedid采用。ISO文件的植入程序在5月中旬再次出现,涉及Qbot、Icedid和Bumblebee等恶意软件家族。从5月下旬开始,HTML走私攻击已经在野外被发现,这避免了通过网络直接传送恶意软件。投放器和有效载荷下图显示了过去三个月中值得注意的恶意软件活动。Dropper应用时间轴由于宏代码的应用,Office文件一直是攻击者最喜欢的攻击向量。但是,随着微软逐渐加强对宏代码的安全控制。2021年7月,微软在打开Excel文件时默认禁用Excel4.0宏代码。2022年4月,微软默认阻止从互联网下载的文件中执行VBA宏代码。攻击者正在转向其他类型的文件以提高其入侵效率,例如LNK文件和ISO文件。
