Necurs僵尸网络仍然是最多产的恶意垃圾邮件发布者之一,定期发布精心制作的附件,用于下载恶意软件。

我们跟踪的大多数恶意垃圾邮件活动都是针对包含宏或漏洞的Microsoft Office文档。我们还看到许多其他类型的恶意附件,它们是压缩脚本(。VBS, . js等)-本质上是最终有效负载的下载器。

在一项新技术中发现了在美国,Necurs做了一些改变,避免了上述格式,而是使用了不同的文件类型,形成了恶意的. url文件(互联网快捷方式)。

这种攻击依赖于文件:/ /协议从samba (SMB)共享加载和执行远程脚本。这是值得注意的,因为通常附件被用作下载器,但在这里我们看到了一个额外的步骤,由于.url快捷方式,它进一步推动了这个函数。

通过不将恶意脚本直接放置在附件中,攻击者还阻止了通常在垃圾邮件陷阱中发生的自动收集和沙箱分析。

WSF脚本的模糊视图可以在下面的截图中看到:

最终有效负载最终从远程服务器下载:

这是一种有趣的攻击,旨在绕过可能阻止知名Office宏的传统安全措施和管理策略。

必威平台APP用户已经对这种技术进行了保护。

恶意软件作者一直在寻找新的规避技术,只要它们能产生良好的成功率。一段时间以来,社会工程攻击依赖于同样的诱饵,但时不时地,我们会看到一种可能已知但尚未被罪犯利用的技术的细微变化。