首页
社区
课程
招聘
恶意电子邮件攻击再度袭来!!
发表于: 2013-7-24 20:26 939

恶意电子邮件攻击再度袭来!!

2013-7-24 20:26
939
新闻链接:http://it.msn.com.cn/network/624636/145982305146b.shtml
新闻时间:2013-07-11
新闻正文:

近日,网络安全研究人员成功检测到一起恶意电子邮件攻击事件,在此次攻击事件中,攻击者利用源自福克斯新闻域名的伪造电子邮件地址,试图将受害者引至托管BlackHole漏洞利用工具包的网站。一旦攻击邮件成功入侵用户电脑,就会释放一个与Cridex病毒家族相关的恶意代码,用于窃取银行凭证、泄露个人身份信息及其它私密信息,获取巨额犯罪收益。

  此次攻击波及了全球范围内的各种行业,截至6月27日下午四点,已经检测并成功拦截了60,000多个实例。被拦截的电子邮件中包含新闻快讯,而且都是针对移民改革政策、反恐战争和向叙利亚派遣驻军等当前最受欢迎和极具争议的话题,很有说服力,因此会引起收件人的兴趣。这些检测到的电子邮件主题主要有:“美国在叙利亚的军事活动——这是第三次大战的开端吗?”、“美国在叙利亚驻军19,000人”、“奥巴马向叙利亚派遣驻军”等。

  恶意电子邮件分析

  这些电子邮件中往往包含一系列可以重定向的链接,将用户引至提供恶意PDF文件的BlackHole漏洞利用工具包。一旦此恶意PDF文件被打开,就会执行可以提供“CVE-2010-0188”漏洞的嵌入混淆JavaScript代码。在被成功入侵的电脑上,shellcode会从以下网址下载一个恶意组件:

  hxxp://sartorilaw.net/news/source_fishs.php?kxdtlz=1l:1g:1i:1o:1j&mbtdi=1k:33:1f:32:2w:30:1h:1o:1h:1g&swlpwu=1i&doko=vaif&wgnrppva=xoti

 shellcode所下载的恶意组件是一个木马病毒,它可以将恶意文件下载至被入侵的电脑上,并且可以通过映射驱动器与可移动驱动器进行传播。

  恶意PDF文件分析

  攻击者将Java脚本语言嵌入到恶意PDF文件中,此类文件成功入侵受害者的电脑后,就会生成Windows注册表项HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\,可以在系统启动时自动运行,来保持自身的持久性。当恶意PDF文件开始执行时,就会打开8080端口上的许多HTTP链接,以下载更多的恶意载荷。
 相关域名

  上述的PDF漏洞可以下载托管在域名(hxxp://sartorilaw.net)上的恶意软件,该域名于2013年6月25日首次注册,利用三个不同的IP地址(119.147.137.31、203.80.17.155、174.140.166.239),用来大量托管恶意软件。以下是所检测的域名注册信息:

  恶意网域(hxxp://sartorilaw.net)

  联系邮箱:soldwias@usa.com

  域名注册人:Cabrieto,Debbie

  此外,对联系邮箱和注册人的WhoIS查找显示,就在同一天,同一注册人同一邮箱注册了第二个域名(hxxp://enterxcasino.net)。这个域名并没有用于此次攻击中,但是极有可能被攻击者用于以后的某些恶意攻击中。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//