垃圾郵件挾帶 JavaScript 惡意程式散播勒索病毒、挖礦程式、間諜程式以及蠕蟲

趨勢科技從 2018 年 12 月 31 日至今已在 72,000 多封電子郵件當中發現大量 JavaScript 惡意程式,且數量突然暴增。這些惡意程式會散布至少 8 種其他類型的惡意程式,如:GandCrab 勒索病毒及挖礦程式。根據我們的資料顯示,偵測數量最多的國家依序為:日本、印度、美國、德國、台灣、菲律賓及加拿大,且大多數來自教育、政府、製造和銀行產業。在本文撰稿時,其下載來源 IP 位址已遭到封鎖。趨勢科技的機器學習和行為偵測技術已能主動偵測並攔截這些惡意的 JavaScript。

圖 1:根據趨勢科技 Smart Protection Network™ 的資料顯示 2019 年一開始網路上即出現大量惡意程式,尤其是 1 月 3 日的數量最高。

圖 2:偵測數量最多的國家。

行為

根據 SANS ISC 的報告指出,這些垃圾郵件的標題並不固定,此外寄件地址也是隨機產生。點選郵件挾帶的 ZIP 檔案就會執行其 JavaScript (趨勢科技命名為 TROJAN.JS.PLOPROLO.THOAOGAI) 並從幕後操縱 (C&C) 伺服器下載惡意程式,例如:GandCrabSmokeAZORultPhorpiex、挖礦程式等等。

圖 3:72,000 多封含有 JavaScript 惡意程式的電子郵件其中幾個樣本。

圖 4:這波垃圾郵件所散布的幾種惡意程式。

[延伸閱讀:Spam campaign abusing SettingContent-ms Found dropping same FlawedAmmyy RAT distributed by Necurs]

我們的偵測系統在惡意程式暴增的短短幾天之內就發現數千個非重複的 SHA 雜湊碼。其下載來源 IP 位址 (根據我們追查是註冊在俄羅斯) 在本文撰寫時已無法連上,但其惡意程式在網路上仍可找到。有趣的是,網路犯罪集團會變換其下載的惡意程式,根據攻擊對象所在地區和所屬產業而散布不同的惡意程式。

圖 5:惡意的腳本會從某個 IP 位址下載各種惡意程式。本文撰寫時所分析到的程式會下載 GandCrab 勒索病毒。

圖 6:即使歹徒註冊的 IP 位址已遭封鎖,但歹徒還是經由其他網站來提供惡意檔案,繼續散發垃圾郵件。

網路犯罪集團經常利用一些全新或之前用過技巧來入侵使用者或企業系統以謀取不法獲利。使用垃圾郵件來挾帶 JavaScript 惡意程式早已不是新聞,但對使用者來說卻仍是一項重大威脅,因為這類手法已不再需要仰賴執行檔或使用者的操作就能發動。不僅如此,只要惡意程式碼儲存在硬碟上,就能經由使用 JavaScript 的網頁指定 JavaScript 程式庫讓 Windows 預設執行。

[延伸閱讀:Same old yet brand new: New file types emerge in malware spam attachments]

只要開啟惡意郵件或附件檔案,就會啟動惡意程式下載,這些惡意程式不僅可能存取、蒐集、竊取機密資料與系統資訊,更可能提供其他不法功能,例如讓駭客從遠端操控系統。以下是這類威脅的防範之道:

  • 避免點選或開啟可疑和來路不明的電子郵件、網站連結或附件檔案。
  • 定期備份您檔案,採用 3-2-1 備份原則
  • 安裝一套多層式資安防護來偵測並攔截惡意電子郵件、附件檔案、網址及網站。

趨勢科技解決方案

趨勢科技 Smart Protection Suites™ 已能攔截並封鎖本文所述的垃圾郵件、JavaScript 惡意程式及惡意 IP 位址。

入侵指標資料

惡意  IP 位址:

92.63.197.48 (C&C 伺服器)

原文出處:JavaScript Malware in Spam Spreads Ransomware, Miners, Spyware, Worm