| 信息安全

请登录

注册

警惕!恶意电子邮件攻击再度袭来

2013-10-17 10:58:30 比特网
A A
近日,网络安全研究人员成功检测到一起恶意电子邮件攻击事件,在此次攻击事件中,攻击者利用源自福克斯新闻域名的伪造电子邮件地址,试图将受害者引至托管BlackHole漏洞利用工具包的网站。一旦攻击邮件成功入侵用
近日,网络安全研究人员成功检测到一起恶意电子邮件攻击事件,在此次攻击事件中,攻击者利用源自福克斯新闻域名的伪造电子邮件地址,试图将受害者引至托管BlackHole漏洞利用工具包的网站。一旦攻击邮件成功入侵用户电脑,就会释放一个与Cridex病毒家族相关的恶意代码,用于窃取银行凭证、泄露个人身份信息及其它私密信息,获取巨额犯罪收益。

此次攻击波及了全球范围内的各种行业,截至6月27日下午四点,已经检测并成功拦截了60,000多个实例。下图为电子邮件截图:

被拦截的电子邮件中包含新闻快讯,而且都是针对移民改革政策、反恐战争和向叙利亚派遣驻军等当前最受欢迎和极具争议的话题,很有说服力,因此会引起收件人的兴趣。这些检测到的电子邮件主题主要有:“美国在叙利亚的军事活动——这是第三次大战的开端吗?”、“美国在叙利亚驻军19,000人”、“奥巴马向叙利亚派遣驻军”等。
恶意电子邮件分析
这些电子邮件中往往包含一系列可以重定向的链接,将用户引至提供恶意PDF文件的BlackHole漏洞利用工具包。一旦此恶意PDF文件被打开,就会执行可以提供“CVE-2010-0188”漏洞的嵌入混淆JavaScript代码。在被成功入侵的电脑上,shellcode会从以下网址下载一个恶意组件:
下图则是这些电子邮件中包含的可以实现重定向的链接:


所下载的恶意组件是一个木马病毒,它可以将恶意文件下载至被入侵的电脑上,并且可以通过映射驱动器与可移动驱动器进行传播。
恶意PDF文件分析
攻击者将Java脚本语言嵌入到恶意PDF文件中,此类文件成功入侵受害者的电脑后,就会生成Windows注册表项HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\,可以在系统启动时自动运行,来保持自身的持久性。当恶意PDF文件开始执行时,就会打开8080端口上的许多HTTP链接,以下载更多的恶意载荷。端口信息如下图所示:


相关域名
上述的PDF漏洞可以下载托管在域名(hxxp://sartorilaw.net)上的恶意软件,该域名于2013年6月25日首次注册,利用三个不同的IP地址(119.147.137.31、203.80.17.155、174.140.166.239),用来大量托管恶意软件。以下是所检测的域名注册信息:
恶意网域
联系邮箱:
域名注册人:Cabrieto,
此外,对联系邮箱和注册人的WhoIS查找显示,就在同一天,同一注册人同一邮箱注册了第二个域名(hxxp://enterxcasino.net)。这个域名并没有用于此次攻击中,但是极有可能被攻击者用于以后的某些恶意攻击中。

大云网官方微信售电那点事儿
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞

相关新闻