垃圾郵件攻擊行動散布金融木馬IcedID、QakBot

資安業者卡巴斯基於3月中旬發現2起垃圾郵件攻擊行動「DotDat」與「Summer.gif」,2者皆使用英文書寫郵件,並夾帶Zip壓縮檔附件或提供下載連結,目的為散布金融木馬,其中多數郵件夾帶之金融木馬為IcedID,部分郵件則夾帶另一金融木馬QakBot。

 

此2起攻擊行動顯著差異為散布木馬程式之方式,DotDat攻擊行動中,駭客寄送夾帶Zip壓縮檔附件之垃圾郵件,郵件內容與取消作業或賠償要求相關。Summer.gif攻擊行動中,駭客則於垃圾郵件中提供下載連結,下載名稱為「documents.zip」、「document-XX.zip」或「doc-XX.zip」之壓縮檔,其中XX表示2個隨機字元。此外,Zip壓縮檔皆含有惡意Excel檔,若使用者點擊該檔案並啟動巨集,即會呼叫Windows API函數,透過作業系統提供之機制,下載金融木馬IcedID或QakBot,以規避防毒軟體偵測。

 

卡巴斯基指出,攻擊行動高峰時期,每天至少偵測到100次攻擊行動。其中,遭受攻擊次數最多之國家為中國,其次為印度,其他遭受攻擊之國家包括義大利、美國及德國。

Reference

資料來源:

Malicious spam campaigns delivering banking Trojans

Spam Downpour Drips New IcedID Banking Trojan Variant