从传播Gandcrab 的ZIP 附件到分发Trickbot 的DOC 文件，研究人员追踪了2019 年使用恶意附件的五次大规模垃圾邮件活动。F-Secure 的研究人员追踪了2019 年迄今为止使用最多的垃圾邮件相关附件和活动。

此外，研究人员还注意到，光盘映像文件（存储整个磁盘的内容和结构的ISO 或IMG 文件，例如DVD 或蓝光光盘）越来越多地用于传播恶意软件。据研究人员称，AgentTesla 恶意软件和NanoCore 远程访问木马已在越来越多的小型活动中被发现。

2019 年跟踪的垃圾邮件活动

F-Secure 的研究人员在最近的一篇文章中表示：“2 月和3 月，我们看到大量垃圾邮件活动使用ZIP 文件传播GandCrab 勒索软件，使用DOC 和XLSM 文件传播Trickbot 银行木马。” “在同一时期，我们看到了同样针对美国运通的大型活动，以及使用PDF 文件附件的‘Winner’骗局。”

ZIP 文件传播GandCrab 研究人员称，二月和三月发生了大规模垃圾邮件活动，传播了臭名昭著的GandCrab 勒索软件。这些活动使用ZIP 文件，旨在将照片发送给某人。

然而，ZIP 文件实际上包含一个混淆的JavaScript 下载器，该下载器执行PowerShell 脚本，下载并执行GandCrab 勒索软件二进制文件。如果有效负载成功下载并执行，它将加密受害者的计算机并显示勒索软件注释（如下）。

传递Trickbot 的DOC/XLSM 文件研究人员还注意到3 月份以税务为主题的垃圾邮件活动显着增加，这些垃圾邮件活动利用DOC 和XLSM 文件传递Trickbot 模块化银行木马。该电子邮件声称该活动的目的是提供税单记录，其中包含一个带有恶意宏的Office 文档附件，该恶意宏使用Bitsadmin 工具下载并执行有效负载。 BitsAdmin 是一个合法的命令行工具，可用于创建下载或上传作业并监控其进度。

研究人员表示，一旦下载并执行，Trickbot 样本就会开始执行并在受害者的计算机上创建模块，窃取“尽可能多的数据”，包括银行凭证。

TrickBot 金融恶意软件于2016 年首次被发现，最近的几起活动展示了其发展背后的快速演变。研究人员注意到该恶意软件的新代码注入技术、更新的信息窃取模块和自定义重定向方法。

美国运通网络钓鱼中使用的PDF 文件3 月份另一个流行的垃圾邮件活动以网络钓鱼攻击为中心，利用PDF 文件来针对美国运通客户。

研究人员表示：“使用PDF 的图表中最高峰之一是3 月份针对美国运通的网络钓鱼活动。”

该电子邮件自称来自美国运通，称受害者的帐户已被标记，PDF 文件被标记为“正在审核”。打开此PDF 文件时，会显示一个链接，引导用户假装“安全消息”来自美国运通名片客户安全团队。事实上，该链接会将受害者带到带有缩短URL 的恶意登录页面，该页面通过询问受害者的银行凭证来进一步欺骗受害者。

“Winner 骗局”中使用的PDF 文件研究人员还发现了一个“Winner”骗局，他们称这是第二高的活动，使用通过电子邮件传播的PDF 文件附件。

据称由Google 发送的附件告诉受害者，他们赢得了由Google 基金会和软件产品进步基金会组织的价值140 万美元的在线抽奖活动。

然后，该表格会要求提供个人详细信息，受害者可以将其付款验证信息通过电子邮件发送给谷歌首席执行官周日皮查伊（sundarpicha@gmail.com）。

研究人员表示：“这种骗局要求受害者提供个人详细信息，例如全名、地址、国家/国籍、电话/手机号码、职业、年龄/性别和私人电子邮件地址。”

电子邮件末尾的一条消息告诉受害者：“出于安全原因，建议您对此通知保密，作为我们预防措施的一部分，以避免双重索赔和无理滥用此流程。”

ISO 和IMG 提供AgentTesla 有趣的是，研究人员表示，自2018 年7 月以来，他们注意到使用光盘映像文件（ISO 和IMG 文件）传播恶意软件的攻击者数量激增。ISO 映像文件是CD 数据和布局的快照，而IMG 光盘映像文件是由各种光盘映像应用程序创建的。

最值得注意的是，研究人员发现越来越多的活动使用这种技术来传播AgentTesla 信息窃取恶意软件和NanoCore RAT，尽管规模较小。

“有趣的是，我们还发现最近的垃圾邮件活动传递了两种类型的附件：恶意办公文档和ISO 图像文件，两者都安装了AgentTesla 信息导出器。”

在这些活动中，有意义的文档会执行宏来下载并执行有效负载，并且ISO 文件包含恶意二进制文件。

“无论受害者选择打开两种附件类型中的哪一种，都会安装AgentTesla，这是一个信息导出程序，能够从浏览器、电子邮件客户端和ftp 客户端等流行安装的软件中收集受害者系统信息和凭据。”研究人员。

垃圾邮件活动不断发展垃圾邮件活动继续采用新的策略来使其更难以检测，而使用新型附件（例如前面提到的ISO 映像文件）只会让攻击者更容易欺骗受害者。

垃圾邮件活动中使用的常见附件

事实上，根据最近的研究，垃圾邮件是2018 年网络犯罪分子传播恶意软件最常用的方法，占全年针对企业的十分之九的感染。

大约69% 的垃圾邮件活动试图诱骗用户访问恶意URL 以下载恶意软件文件或提交其他导致感染的在线操作。其余31% 的活动使用恶意附件。

F-Secure 研究人员强调说：“恶意软件作者往往更喜欢在其活动中使用特定类型的文件附件来分发恶意内容。”

我们专注高端建站，小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验，每一个项目承诺做到满意为止，多一次对比，一定让您多一份收获！