新闻中心

Hot News

利用.url泄漏,并诱骗收件人执行的恶意邮件爆发中

本周,守内安与ASRC在亚太地区观测到大量带有.url压缩附档的恶意邮件,

这些邮件主旨与.zip压缩附档档名皆以Purchase_、Order_、PO_、Purchase Order_开头 ,并包含日期 (27032018)。


本周,守内安与ASRC在亚太地区观测到大量带有.url压缩附档的恶意邮件,这些邮件主旨与.zip压缩附档档名皆以Purchase_、Order_、PO_、Purchase Order_开头 ,并包含日期 (27032018)。这种恶意邮件的特殊之处在于,当收件人在Windows下解开附档,并选取.url档案时,Windows即会主动向.url要求的地址以SMB通讯协议要求信息,此时已对远程恶意主机泄漏收件人使用的IP与其计算机名称。

该.url文件若在Windows系统中被触发执行,则会询问是否透过SMB通讯协议取得并执行远程作为Downloader的.wsf档案。该Downloader会试图前往:

  • .asetcorp[.]com/UyG64G32??AYtVsBi=AYtVsBi
  • .kampton[.]com.my/UyG64G32??AYtVsBi=AYtVsBi
  • .gotrolhedtsasof[.]com/stsr0/UyG64G32?AYtVsBi=AYtVsBi

取得AytVsBi[序列数字].exe档案,并在下载成功后执行。接着会作如下动作:

  1. 复制自身到 %TEMP%/(一串数字)/dwm.exe
  2. 注册 HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN,让 dwm.exe 自动执行
  3. 利用 netsh.exe 设置防火墙规则让 AytVsBi[序列数字].exe 和 dwm.exe 可对外联机
  4. 搜集计算机信息(语系、系统时间、磁盘信息...等)
  5. 执行 cacls 对 AytVsBi[序列数字].exe 和 dwm.exe 设定执行权限
  6. 透过 HTTP 向 cynagotceter[.]in 取得后续要执行的恶意软件
  7. 最终,很可能让收件者的计算机感染勒索软件或木马程序。

守内安HMDS高性能邮件威胁防御系统目前已可拦截此新型恶意邮件。

购物车

登入

登入成功