一只名为FlawedAmmyy的远程访问木马程序(Remote Access Trojan,RAT)近日通过网络钓鱼邮件的Excel及Word附件传播,东亚地区包括台湾、韩国及中国都传出企业受害。
微软安全情报中心近日侦测到一波网络钓鱼攻击。信中包含一个Excel .xls附件,若被不知情的受害者点击,就会自动执行宏、打开msiexec.exe并启动一连串下载及启动恶意程序代码的过程。首先它下载MSI压缩文件,这个压缩文件包含经过数字签名的可执行文件,执行后即解密并在内存跑另一个可执行文件wsus.exe,后者最后下载名为FlawedAmmyy的RAT木马程序。
趋势科技也在本月首度发出FlawedAmmyy的安全通知。研究人员相信它是由名为TA505的犯罪组织发动,这个组织从去年底开始积极以网络钓鱼信件攻击金融与零售业,入侵合法的远程管理系统或或传播RAT程序如FlawedAmmyy、FrawedGrace等。
此外TA505还会利用LOLbins及合法的Windows OS行程来执行恶意程序。研究人员观察到这波攻击中,黑客一开始以邮件中的HTML连接诱使受害者下载Excel和Word文件,但后来也看到以邮件附件传播。他们并懂得使用Excel 4.0宏,来躲避安全软件的侦测。
趋势研究人员关注TA505不断提升其攻击工具和手段。四月间这个组织利用FlawedAmmyy和工具入侵了智利、墨西哥及意大利企业。而到四月底,FlawedAmmyy更蔓延到东亚地区,包括台湾、中国、韩国。微软及趋势科技都侦测到使用韩文的恶意文件,但也有简中版本的攻击样本。
最佳防范之道除了安装杀毒软件外,更重要是确保用户不轻易点击来路不明的邮件连接或附件。