深度追蹤垃圾郵件和網路釣魚

2018年8月19日 15:11

本文轉SECURELIST ,由奇點財經,原文作者Maria VergelisNadezhda DemidovaTatyana Shcherbakova

季度聚焦

在第一季度,我們討論了旨在利用2018年5月25日生效的GDPR(通用數據保護法規)的垃圾郵件相關話題。當時,垃圾郵件僅在受邀參加研討會和其他教育活動,以及購買軟體或數據庫中傳播。然而,我們預測欺詐性電子郵件很快就會接踵而至。我們在第二季度發現了它們。

根據監管規定,應由公司通知電子郵件收件人,告知他們向新的GDPR政策轉變,並要求他們確認存儲和處理個人資訊的許可。這就是為犯罪分子所利用的地方。為了獲取知名公司客戶的個人資訊,犯罪分子發送了涉及GDPR的釣魚郵件,要求收件人更新賬戶資訊。為了做到這一點,客戶必須點擊提供的鏈接並輸入要求的數據,這些數據立即落入犯罪分子手中。必須指出,攻擊者的目標是金融機構和It服務提供商的客戶。

惡意IQY附件

在第二季度,我們發現了一些未見過的帶有IQY (Microsoft Excel Web查詢)附件的垃圾郵件事件。攻擊者將這些文件偽裝成發票、訂單表單、文檔副本等,這是一種已知的策略,目前仍用於惡意發送垃圾郵件。發件人字段包含看起來像個人電子郵件的地址,附件的名稱根據以下糢板生成:附件的名稱,然後是日期或隨機數序列。

 

當受害者打開IQY文件時,計算機下載了幾個木馬下載程序,安裝了Flawed Ammyy RAT。感染鏈可能是這樣的:trojan – download.msexcel代理從同一系列下載另一個下載器,該下載器依次下載trojan – download.powershell,然後這個木馬下載Trojan-Downloader.Win32.Dapato,它最終安裝了真正的軟體後門,也被稱為Flawed Ammyy RAT。而它也被用於遠程訪問受害者的電腦,竊取文件和個人資訊,發送垃圾郵件。

檢測這些附件是相當困難的,因為這些文件看起來像普通的文本文檔,將web查詢數據從遠程數據源傳輸到Excel電子表格。IQY文件在罪犯手中也可能是一個非常危險的工具,因為它們的結構與合法文件的結構沒有區別,但是它們可以被用來下載任何數據。

必須指出的是,帶有IQY附件的惡意垃圾郵件是通過最大的僵屍網路Necurs發布的。提醒一下,這是一個僵屍網路,它負責惡意垃圾郵件(勒索軟體、大型病毒等),以及詐騙軟體和約會郵件。僵屍網路的執行特點是在感染和過濾機制變得越來越複雜的同時,它還會出現階段性的高峰和空閑狀態。

數據洩漏

我們在上個季度討論的保密資訊洩露浪潮仍在上升。以下是本季度最值得註意的一些事件:

  • 黑客入侵和竊取2700萬Ticketfly用戶的個人資訊;
  • 920萬MyHeritage genealogy service用戶個人資訊在公共伺服器上發現;
  • 營銷公司Exactis丟失了3.4億份個人記錄;
  • 不受保護的亞馬遜伺服器允許訪問4800萬Facebook、LinkedIn、Twitter和Zillow用戶的個人資訊。

由於這些資訊的洩露,網路罪犯可以獲得用戶的姓名、電子郵件地址、電話號碼、出生日期、信用卡號碼和個人喜好。這些資訊以後可能被用於發起有針對性的網路釣魚攻擊,這是最危險的網路釣魚類型。

加密貨幣

今年第二季度,我們的反釣魚系統阻止了5.8萬用戶嘗試連接偽裝成流行加密貨幣錢包和市場的釣魚網站。除了傳統的網路釣魚(旨在獲取受害者的賬戶和私鑰資訊),網路犯罪分子還千方百計地誘使受害者向他們發送加密貨幣。其中一個例子就是加密貨幣贈品。網路犯罪分子繼續使用新的ICO項目的名稱,從那些試圖盡早獲得新代幣的潛在投資者那裡募集資金。有時,釣魚網站會在正式項目網站之前出現。

Ethereum (ETH)是目前最受網路釣魚者歡迎的加密貨幣。隨著越來越多的資金被Ethereum平臺上的ICOs所吸引,Ethereum在網路罪犯中的受歡迎程度增加。根據我們非常粗略的估計(根據從1000多個黑客使用的ETH錢包中獲得的數據),在2018年第二季度,利用ICOs的網路犯罪分子設法賺到了2329317美元(2018年7月底的匯率),傳統的網路釣魚不包括在內。

2018年世界杯

來自世界各地的網路犯罪分子與世界杯組織者和球迷一樣,都在為世界杯做準備。世界杯被用在了許多使用社會工程的傳統騙局中。網路罪犯創建了虛假的冠軍合作夥伴網站,以獲取受害者的銀行和其他賬戶,實施有針對性的攻擊,並創建了虛假的fifa.com賬戶登錄頁面。

HTTPS

正如2017年的報告所提到的,越來越多的釣魚網頁出現在認證域名上。這些域名可能包括被黑客攻擊或專門註冊的域名,網路罪犯用來存儲他們的內容。這與大多數Internet正切換到HTTPS這一事實有關,而且獲得一個簡單的證書變得很容易。在第二季度中期,這促使穀歌宣布了未來的努力,旨在改變Chrome處理證書的方式。從2018年9月開始,瀏覽器(Chrome 69)將停止在URL欄中將HTTPS網站標記為「安全」。相反,從2018年10月開始,當用戶在未加密的網站上輸入數據時,Chrome將開始顯示「不安全」標簽。

 

穀歌相信這將使更多的網站使用加密。畢竟,用戶應該期望web在默認情況下是安全的,並且只有在出現任何問題時才會收到警告。

目前,URL欄中的綠色安全資訊對用戶來說相當具有誤導性,特別是當他們訪問釣魚網站時。

假期

為了迎接假期的到來,網路犯罪分子使用了所有可能引起旅行者興趣的話題,從機票購買到酒店預訂。例如,我們發現很多網站都以荒謬的價格提供非常誘人的住宿條件(例如,布拉格一套四居室的房子,帶游泳池和壁爐,月租1000美元)。這些網站包括像亞馬遜、TripAdvisor等在旅行者中很受歡迎的網站。

類似的方法也被用於偽造票務網站。在這些情況下,顯示的航班資訊是真實的,但是機票是假的。

渠道

在我們的報告中,我們經常指出釣魚和其他垃圾郵件早已遠遠超過電子郵件。攻擊者使用他們所能使用的一切通信手段,甚至招募毫無戒心的用戶進行惡意軟體傳播。在這個季度,大多數大規糢的攻擊都發生在即時通訊軟體和社交網路上。

WhatsApp

最近,網路犯罪分子越來越頻繁地使用WhatsApp發布內容。WhatsApp的用戶自己拷貝和重新發送垃圾資訊,就像許多年前他們使用幸運連鎖信(luck chain letter)一樣。這些消息中的大多數都包含了關於虛擬彩票或贈品的資訊(我們已經討論過很多次了)。上個季度,網路犯罪分子帶回了機票贈品。例如,在俄羅斯這個季度,他們使用了熱門零售商的名字,如Pyaterochka和Leroy Merlin,還有麥當勞。一些虛假資訊來自流行的運動服裝品牌、某些商店和咖啡店。

一旦用戶將消息發送給一些朋友,他或她就會被重定向到另一個資源,該資源的內容會根據受害者的位置和設備而改變。如果用戶通過智能行動電話訪問網站,他們通常會自動訂閱付費服務。用戶還可能被重定向到包含調查、彩票或其他惡意網站的頁面。例如,用戶可能會被邀請安裝一個瀏覽器擴展,該擴展將攔截他們在其他網站上輸入的數據,並使用他們的名字在網上做其他事情,比如在社交媒體上發布帖子。

 

 TwitterInstagram

長期以來,網路犯罪分子一直在使用Twitter發布欺詐內容。然而,它最近成為了虛假名人和公司賬戶的滋生地。

 

在網路罪犯中,最流行使用的封面是代表名人的加密貨幣贈品。用戶被要求將少量加密貨幣轉移到某個錢包,以獲得雙倍或三倍的加密貨幣。為了增強信任,錢包可能位於一個單獨的網站上,該網站還包含一個虛假交易的列表,受害者可以看到這些交易的「實時更新」,這就證實了任何將錢轉移到假錢包的人都能得到比轉移金額多幾倍的回報。當然,受害者不會得到任何東西。盡管這個計劃很簡單,但它卻讓網路罪犯賺了數百萬美元。本季度,網路犯罪分子在他們的計劃中青睞Elon Musk、Pavel Durov和Vitalik Buterin。選擇這些名字是有原因的——Elon Musk是一位企業家、發明家和投資者,而Durov和Buterin則躋身《財富》雜志(Fortune)公布的密碼貨幣市場領軍人物排行榜。

新聞轟動使這些計劃更加有效。例如,Telegram messenger的關閉引發了Pavel Durov承諾賠償的虛假資訊浪潮。在這種情況下,網路罪犯使用的是拼寫相近的賬戶名。例如,如果最初的帳戶名包含一個下劃線,網路犯罪分子就會在新用戶名中註冊兩個下劃線,並在名人真實的Twitter帖子的評論中發布有關加密貨幣贈品的資訊。因此,即使是一個註重細節的人也很難辨別真偽。

 

Twitter管理層很久以前就承諾要阻止這種欺詐行為。他們的第一步是屏蔽試圖將用戶名改為Elon Musk的賬戶,很可能還有其他網路罪犯常用的名字。然而,通過輸入驗證碼和通過文本發送的代碼,可以很容易地防止帳戶被屏蔽,之後用戶可以保留Elon的名字或將其更改為他們想要的任何東西——該帳戶不會再次被屏蔽。目前還不清楚Twitter是否會屏蔽那些經常被網路犯罪分子利用的知名人士糢糊的名字。社交網站採取的另一項措施是屏蔽發布到Elon Musk賬戶鏈接的賬戶。與前面的示例一樣,可以通過輸入驗證碼、或通過簡訊中接收的代碼確認電話號碼來解除對帳戶的屏蔽。這種騙局也開始蔓延到其他平臺。Instagram上也有假賬戶。

 

Facebook

在Facebook上,除了上述通過病毒傳播的內容外,網路罪犯還經常使用社交網路提供的廣告機制。我們記錄了通過Facebook廣告迅速致富的例子。

點擊廣告後,用戶被重定向到一個網站,完成幾個步驟後,他們會得到獎勵。要獲得獎勵,用戶必須支付一定的費用,輸入信用卡資訊,或者共享一些個人資訊。當然,用戶最終不會得到任何獎勵。

搜尋

含有惡意內容和釣魚網站鏈接的廣告不僅可以在社交網站上找到,在主要搜尋引擎的搜尋結果頁面上也可以找到。這已經成為一種流行的虛假ICO項目網站的廣告方式。

垃圾資訊散布者的技巧

上個季度,垃圾郵件發送者試圖使用以下新技巧來規避過濾器。

標題

在生成垃圾郵件時,垃圾郵件發送者使用電子郵件標題中的兩個字段。第一個字段的地址包含一個合法的地址,通常來自一個知名的機構(其聲譽沒有受到垃圾郵件醜聞的影嚮),第二個包含實際的垃圾郵件地址,與第一個沒有任何關系。垃圾郵件發送者希望電子郵件被過濾器視為合法的,忘記了現代反垃圾郵件解決方案不僅依賴於電子郵件的技術部分,還依賴於其內容。

訂閱形式

在這些事件中,以自動郵件訂閱確認的形式發送的垃圾郵件到達收件人收件箱。經常使用能夠無限制用戶註冊的網站來創建它們(特別是當它們允許多次使用相同的電子郵件地址時)。垃圾資訊散布者使用的腳本可以自動填充訂閱表單,從以前收集的(或購買的)數據庫插入收件人地址。垃圾郵件內容是一個簡短的短語,它鏈接到一個垃圾郵件資源,插入到表單的一個強制字段中(特別是收件人姓名)。因此,用戶會收到一個來自合法郵件地址的通知,其中包含一個垃圾郵件鏈接,而不是他們的名字。

統計:垃圾

垃圾件在件流量中的比例

 

在2018年第二季度,垃圾郵件占比最高的是5月份的50.65%。垃圾郵件在全球郵件流量中的平均百分比為49.66%,比上一個報告期間低2.16個百分點。

各國垃圾件的來源

在2018年第二季度,越南(3.98%)作為垃圾郵件的主要來源國下降到第七位,被中國(14.36%)所取代。排在第二和第三位的是德國的美國,兩者的差距只有一個百分點,分別為12.11%和11.12%。法國排名第四(4.42%),俄羅斯排名第五(4.34%)。英國排在第10位(2.43%)。

 

垃圾件大小

 

2018年第二季度的結果顯示,非常小的垃圾郵件(高達2kb)的比例下降了2.45%,為79.17%。另一方面,5-10 KB的垃圾郵件比上一季度有所增長(增長了1.45%),達到5.56%。10-20 KB的垃圾郵件的百分比幾乎沒有變化——它下降了0.93% ,為3.68%。20-50 KB的垃圾郵件也出現了類似的趨勢,與上一報告期間相比,份額下降了0.4%,為2.68%。

惡意附件

 

根據2018年第二季度的結果,最廣泛分布的惡意軟體郵件是利用CVE-2017-11882(10.35%)/這是由於各種惡意軟體利用Microsoft Word的CVE-2017-11882漏洞而導致的。帶有Trojan-PSW.Win32.Fareit 惡意軟體竊取用戶資訊和密碼在第二季度下降,失去了第一名,現在以5.90%的比例占據第二名。第三位和第四位是Win32.Androm (5.71%) and Backdoor.Java.QRat (3.80%)。 Worm.Win32.WBVB 排名第五。

受到件攻的國家

 

 在2018年第二季度郵件反病毒觸發器數量最多的國家中,排名第一、第二和第三的國家沒有變化。德國仍然是第一名(9.54%),第二名和第三名分別是俄羅斯和英國(8.78%和8.67%)。巴西(7.07%)和意大利(5.39%)分別位居第四和第五。

統計:釣魚

在2018年第二季度,反釣魚阻止了107,785,069次試圖將用戶連接到惡意網站的嘗試。世界各地卡巴斯基實驗室9.6%的用戶遭受攻擊。

在2018年第二季度遭受網路釣魚攻擊的用戶比例最高的國家還是巴西,為15.51%(下降了3.56%)。

組織受到攻擊

根據卡巴斯基實驗室(Kaspersky Lab)的反釣魚組件的檢測結果,對不同類別組織的釣魚攻擊進行評級。每當用戶試圖打開釣魚網頁時,它都會被激活,或者是通過點擊電子郵件或社交媒體資訊中的鏈接,或者是由於惡意軟體的活動。當組件被觸發時,瀏覽器會顯示一條警告用戶潛在威脅的通知。在2018年第二季度,全球互聯網門戶類再次以25.00%(增長1.3%)名列第一。

對能合並為一般金融類別的組織的攻擊比例(銀行占21.10%,在線商店占8.17%,支付系統占6.43%)下降到35.70% (下降了8.22%)。與第一季度相比,第二季度IT公司更容易受到威脅,從12.28%上升到13.83%。

結論

本季度全球郵件流量中平均垃圾郵件量為49.66%,比上一季度下降了2.16%,而反釣魚系統阻止了超過1.07億次將用戶連接到釣魚網站的嘗試,比2018年第一季度增加了1700萬次。

在這個季度,malefactors積極使用GDPR、世界杯和加密貨幣主題,在社交網路和通訊軟體(用戶經常自己發布)上找到惡意網站的鏈接,以及大型搜尋引擎提供的營銷資訊。Exploit.Win32.CVE-2017-11882是通過郵件傳播最廣泛的惡意軟體,占10.35%。Trojan-PSW.Win32. Fareit從第一名跌至第二名(5.90%),第三名和第四名分別為Backdoor.Win32.Androm(5.71%)和Backdoor.Java.QRat(3.80%)。

 

原文地址:securelist.com/spam-and-phishing-in-q2-2018/87368/