本文我們將分析解釋最常被網路不法分子用來藏匿惡意軟體的文件類型,以及如何防止被它們感染。
垃圾郵件發送者每天都會發送幾十億封郵件,大多數都是俗套的廣告訊息,雖然煩人但是通常無害,但是這些消息中偶爾也會附有惡意文件。
為了引誘郵件接收人打開附件,它們通常都會被標記為有趣、有用或者重要的一些事物:比如工作文檔、誘人的offer或者帶有著名公司圖標的禮品卡等等。
這些散佈惡意軟體的攻擊者通常有一些最喜愛的文件格式,本文就來討論這些今年最常用於藏匿惡意軟體的文件類型。
1. ZIP和RAR檔案
網路不法分子們常常將惡意軟體藏於檔案文件中,比如在情人節這天將GandCrab勒索軟體藏於文件名為Love_You0891的ZIP文件中,或者在幾週後發送帶有Qbot木馬的檔案文件,而該木馬專用於竊取數據。
今年我們還發現了WinRAR中一個有趣的特性,在創建檔案時,我們可以設定解壓規則從而將檔案中的內容解壓至系統文件夾,尤其是Windows的啟動文件夾,從而使得被解壓的程式可以在下次系統啟動時運行。因此我們建議WinRAR用戶立即更新來修復這個安全問題。
2. 微軟Office文檔
微軟Office文件,尤其是Word文檔(DOC、DOCX)、Excel表單(XLS、XLSX、XLSM)、幻燈片文件和模板文件,都是網路不法分子們喜歡使用的工具。這些文件中可以嵌入宏——一種在文件中運行的小程式,攻擊者們常使用宏來下載惡意軟體。
大多數情況下,這種附件以辦公室員工為目標,它們偽裝成合同、帳單、稅務通知和來自高級經理的緊急消息等等。比如,之前名為Ursnif的銀行木馬藏匿於一些意大利用戶的繳費通知中,如果受害者打開文件並且允許宏運行(出於安全原因默認禁止運行),就會無意中下載木馬程式。
3. PDF文件
很多人都知道微軟Office文檔中的宏的危險性,但是大家很少了解PDF文件中的”陷阱”。PDF文件也可以藏匿惡意程式,該文件格式可以被用來創建和運行JavaScript文件。
除此之外,網路不法分子們還很喜歡在PDF文檔中安插釣魚連結。比如,在某次垃圾郵件攻擊中,黑客引誘用戶訪問一個向用戶索要美運通帳號的”安全”頁面,而這些輸入的登錄訊息無疑將被立刻轉發給攻擊者。
4. ISO和IMG磁盤鏡像
ISO和IMG文件作為附件並沒有之前幾種文件類型那麼常見,然而攻擊者們最近也開始越來越多地註意到它們。這種文件——磁盤鏡像——簡單說就是CD、DVD或者其他磁盤的虛擬拷貝。
攻擊者通過磁盤鏡像將諸如Agent Tesla木馬這種專門竊取登錄訊息的惡意軟體送至受害者的電腦中。當鏡像掛載時,其中的惡意可執行程式在設備上啟動並安裝間諜軟體。有時網路不法分子們竟然會同時使用兩種附件(ISO和DOC),顯然是考慮到一種格式可能會失敗。
如何處理具有潛在危險的附件
沒有必要把所有附有檔案文件或者DOCX/PDF的郵件全部放入垃圾文件夾,要想識破詐騙郵件,請記住以下幾點:
- 不要打開來自未知地址的可疑郵件。如果你無法確定為何會在信箱收到此郵件,那麼很可能你並不需要這封郵件。
- 如果你的工作需要和陌生人郵件往來,請仔細檢查發送者的地址和附件名稱。如果發現任何奇怪的地方,請不要打開郵件。
- 除非你十分確定自己必須這麼做,否則不要允許宏在來自郵件的文檔中運行。
- 謹慎對待文件中的所有連結,如果不清楚某條連結為何出現在郵件中,請直接忽略它。如果你需要訪問此連結,請在瀏覽器中手動輸入連結中的網址。
- 採用可靠的安全解決方案,它們可以提示有關危險文件並將其阻攔,同時也可以在你訪問可疑站點時發送警告。
資料來源: https://www.kaspersky.com/blog/attack-on-online-retail/31786/