恶意软件 团伙利用Facebook内容交付网络(CDN)服务器存储恶意文件,并用银行木马病毒感染用户。近期利用可信域名进行恶意软件分发的例子多起来了,比如9月5日的 攻击者利用美国政府网站高信誉度用于投放Cerber勒索软件
过去两周内,研究人员观察到多个利用Facebook CDN服务器存储恶意payload的攻击活动。该攻击团伙之前还曾利用Dropbox和谷歌云存储服务存储恶意payload。利用谷歌和Dropbox URL发起攻击发生在7月,是由位于帕洛阿尔托的Brad Duncan记录的。它们与上周MalwareHunter安全研究人员检测到攻击几乎一模一样。
该团伙之所以利用Facebook CDN,是因为与业务网络中不活跃的域上的托管恶意软件相比,该域名受到大多数安全解决方案的信任,而且被阻止的几率很小。
垃圾邮件攻击在Facebook CDN上隐藏恶意文件
感染始于用户收到来自攻击者的虚假邮件。邮件伪装成地方当局的官方通信,并包含一个链接。这些链接可定向至Facebook CDN。攻击者在Facebook团伙或其他公共领域中上传文件,获取文件URL,并将其添加至垃圾邮件中。其中一个恶意链接如下:
攻击者所用的垃圾邮件示例
利用RAR/ZIP文件进行Squiblydoo攻击
一旦用户点击链接,就会下载RAR或ZIP文件。这些压缩文件包含一个 恶意链接文件 (快捷方式)。若用户点击链接文件,快捷路径就会调用Windows计算机上安装的合法应用程序(如命令提示符或PowerShell)运行编码的PowerShell脚本。利用本地应用隐藏恶意操作的技术被称之为“Squiblydoo”,其目的是绕过低端安全软件。
在这一点上,编码的PowerShell脚本下载并运行另一个PowerShell脚本,该脚本启动了一场操作风暴。第二个PowerShell脚本下载DLL文件,继而下载合法EXE文件和另一个DLL文件。
扭曲的操作迷宫继续创建指向另一个VBS脚本的链接(快捷方式)文件。PowerShell脚本调用快捷方式文件快捷方式文件调用VBS脚本,VBS脚本执行合法EXE文件合法EXE文件安装第二个DLL文件。
攻击团伙只针对巴西用户
据MalwareHunter表示,这些扭曲的过程中,攻击团伙还根据IP地址检查用户的地理位置。若受害者不是来自目标国家,感染操作将中止,感染例程将下载(并最终加载)空的最后阶段的DLL文件。若受害者来自目标国家(巴西),合法EXE文件就会下载恶意DLL文件。
然后,该DLL文件就会下载并安装Banload。Banload是一个恶意软件下载器,后来被用于仅针对巴西用户提供 银行木马 ,ESET的检测结果为:Win32/Spy.Banker.ADYV。
今年早些时候(2017年7月)在ESET巴西分部感染中曾出现过Win32/Spy.Banker.ADYV。此次攻击活动被称为DownAndExec,也是由同一个攻击团伙发起。
研究人员认为,这和2016年针对巴西发起Banload攻击的是同一攻击团伙,并且他们在2015年发起Escelar银行木马攻击,主要针对的也是巴西用户。
数万人收到 垃圾邮件
MalwareHunter的研究人员检测到该威胁源起方近期发起的攻击活动。他们认为这些威胁源起方的手段非常高明,甚至超过最近一些国家级网络间谍团伙。
攻击者还能够进行大规模的垃圾邮件活动,推出恶意邮件。该团伙借鉴了在线营销人员的技术,并使用1px的1px追踪嵌入垃圾邮件的图片,查看哪些用户打开了邮件。这些小图像可通过goo.gl短链接加载,MalwareHunter可检测到攻击活动范围。例如,9月2日,MalwareHunter发现20万巴西用户查看了垃圾邮件。另外两次攻击活动中,也有七八万用户查看了垃圾邮件。
垃圾邮件中 goo.gl 短链接点击数
目前,攻击活动持续了近一周才平息下来,但专家们预计会再次发生,虽然会有些许变化。Facebook已接到相关通知并正在调查此事。
原文发布时间:2017年9月11日
本文由:bleepingcomputer发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/facebook-cdn-banking-trojan