在2014年,每天有1963亿封电子邮件在收发,其中,有1087亿封是商业邮件。大量的电子邮件的收发吸引了网络犯罪分子的关注,他们企图利用电子邮件攻击大型企业,这些攻击可能导致数百万美元的损失与数据窃盗。今年上半年主要有巨集病毒垃圾邮件和勒索软件Ransomware两大威胁。
旧玩意新花样
上半年,我们注意到巨集垃圾邮件的威胁在显著地增加,这些垃圾邮件夹带着.DOC、.DOCM、.XLS和.XLSM等Microsoft Office扩展名的附加文件。
(巨集垃圾邮件一直在成长 红色:UPATRE 绿色:巨集垃圾邮件)
我们也看到一些包含PDF附件的电子邮件,这些附件实际上嵌入了可下载恶意巨集的.DOC文件;除了带有附件,有些邮件还包含恶意链接到正常文件代管网站(如DropBox等),但所放的却是恶意文件。
(.PDF文件样本)
再次检视勒索软件邮件
上半年,有两个突出的勒索软件家族:Cryptowall 3.0和TorrentLocker。
在今年第一季中,我们看到有恶意垃圾邮件结合了文件加密与数据窃取攻击。许多垃圾邮件夹带了包含一个.JS或.HTML文件的ZIP文件,可下载Cryptowall和FAREIT恶意软件到电脑上。FAREIT会窃取FTP客户端、网页浏览器、电子邮件客户端甚至是比特币钱包储存在系统内的身份凭证。
(2015年上半年的垃圾邮件总量)
UPATRE仍位居前列
曾被认为是最大的垃圾邮件僵尸网络之一的UPATRE通过CUTWAIL僵尸网络卷土重来,仍然位居前列。虽然UPATRE是个“旧”威胁,但它还是有些新把戏。我们发现有新版本的UPATRE可以停用安全功能以更容易躲避侦测。我们也看到有新变种透过微软编译HTM文件(.CHM)植入系统(.CHM是微软的说明文件扩展名,使用此扩展名为了避免用户起疑)。
PLUGX和EMDIVI是社交工程钓鱼攻击所用的首要恶意软件
前半年,社交工程网络钓鱼邮件使用了各种社会工程诱饵,比如即将到来的研讨会、职缺消息和人事问题。最常用的两个恶意软件是PLUGX和EMDIVI。PLUGX是用在对政府单位和关键产业APT攻击的远程访问工具;EMDIVI以用在对日本企业的APT攻击。
垃圾邮件的下一步是什么?
以下是我们根据过去和目前的观察做出的一些预测:
巨集恶意软件将会继续增加,可能会使用像新扩展名或新恶意软件等新招数。
Cryptowall垃圾邮件也可能会有变化:我们预料攻击者将不仅仅使用“履历”模板,可能会包含其他范本。
垃圾邮件发送者会使用一般模板来进行攻击以绕过防垃圾邮件过滤器。包括社交网络通知、银行通知以及快递的追踪通知。
垃圾邮件发送者将继续利用假期和其他具有新闻价值的事件来让无戒心的用户成为受害者。
UPATRE将仍是最常被散播的恶意软件,因为它的文件小,可以很容易地加进电子邮件或从网络下载。
无论垃圾邮件的下一步会怎么走,企业都应该部署好可以侦测并封锁电子邮件威胁的安全解决方案,我们的Deep Discovery可以侦测和封锁潜在威胁的电子邮件,在威胁到达之前主动加以封锁,为您提供安全防护。
| 
发表于 2015-9-22 14:43:09
