卡巴斯基实验室《2017年Q2垃圾邮件与网络钓鱼分析报告》

正文

请到「今天看啥」查看全文

该文档包含一个名为“Trojan-Downloader.MSWord.Agent.bkt”的恶意程序。该恶意程序是一个宏病毒，由VBS脚本编写，当用Office软件打开时，它会执行文件里的恶意代码，从远程网址下载木马到本地并运行。

值得注意的是，恶意邮件伪造成商业邮件的现象正在不断发展。 如今，垃圾邮件发送者不仅会模仿商业邮件的风格——他们经常会使用公司的真实细节，复制自动签名以及logo等信息，甚至邮件的主题也可以对应到公司的简介。这类邮件主要针对B2B（电子商务）行业。

该文档中包含属于Loki Bot家族的恶意程序，旨在从FTP、邮件客户端以及存储密码的浏览器和加密货币钱包中窃取密码。

该文档中包含名为“Exploit.Win32.BypassUAC.bwc”的恶意程序，旨在窃取网络资源和邮件客户端的密码。

这种针对性的攻击可能会有不同的目标。就勒索软件而言，很明显，一个公司的知识产权比私人电脑中存储的其他信息更具价值，所以潜在的受害者更有可能愿意支付必要的比特币来恢复文件。

而就旨在窃取财务信息的间谍软件而言，一旦攻击者顺利侵入公司的账户，他们就可以获取更多的收益。 针对电子商务（B2B）行业的间谍软件还可以用于更为复杂的金融欺诈案中，包括金融交易中的MITM（中间人）攻击。

有趣的是，虽然受害者计算机上下载的有效载荷有所不同，但是其主要功能都是窃取用户的身份验证数据，这意味着，大多数针对企业部门的攻击都具有其财务目的。 我们不应该忽略攻击者侵入企业网络并控制工业设备的潜在威胁场景。

总体而言， 2017年第二季度中，邮件流量中的垃圾邮件比例较之上个季度略有增长。第二季度与第一季度相比，电子邮件防病毒检测率增长了17%。

【2017年Q1-Q2卡巴斯基实验室计算机用户的电子邮件防病毒检测数量】

4. Necurs僵尸网络仍在持续分发垃圾邮件

Necurs僵尸网络分发垃圾邮件的情况仍在持续，只是数量上比2016年呈现明显减少趋势。目前，除了分发恶意邮件外，该僵尸网络还积极扩展“哄抬股价”（pump-and-dump）以及约会等方面的垃圾邮件：

Necurs僵尸网络的恶意邮件通常很简洁，包含DOC、PDF或其他扩展名的文件。 有时，电子邮件中并没有恶意附件，而是包含一个指向恶意文件下载的云存储（如Dropbox）的链接。

5. 通过合法服务传播垃圾邮件

请到「今天看啥」查看全文