資安威脅趨勢 - 攻擊者冒充金融服務業者的名義向使用者寄送惡意電子郵件

                                                                                

攻擊者冒充金融服務業者的名義向使用者寄送惡意電子郵件

一、摘要

         資安業者Perception Point揭露竊資軟體Lumma的攻擊行動，攻擊者冒充金融服務業者的名義，宣稱提供發票並向使用者寄送電子郵件，一旦使用者依照指示點選「檢視及下載發票的按鈕」，便會連線到「網頁無法使用」的網站，使用者被迫回到電子郵件點選另一個URL。研究人員指出，攻擊者的目的就是為了避免第一個按鈕觸發防毒軟體的警報。然而看似無害的網站，只要使用者有點選，就會被重新導向到第二個URL自動啟動JavaScript指令碼，從而下載包含惡意酬載在內的多個檔案。

註： 酬載：此指檔案包殼，躲避資安設備、防毒軟體及端點的檢測並運送到目的主機的代碼。

二、存在風險

          資安業者Perception Point揭露竊資軟體Lumma的攻擊行動，攻擊者冒充金融服務業者的名義，宣稱提供發票並向使用者寄送電子郵件，一旦使用者依照指示點選「檢視及下載發票的按鈕」，便會連線到「網頁無法使用」的網站，使用者被迫回到電子郵件點選另一個URL。

圖一、惡意郵件[圖片來自：perception-point]

        

圖二、無法使用的網站頁面[圖片來自：perception-point]

攻擊者主要是利用「網頁無法使用」網頁頁面以及連結來規避資安設備的監控，因為多數的的郵件檢測方案可能無法判讀到惡意酬載，其主要原因可能是(1) 網頁為無法使用的網站、(2) 第二個連結看似無害。

然而，當使用者點擊網頁上連結時，他們會被重新導向到另一個連結並且會自動下載 JavaScript 檔案，其中包含數個檔案，檔案中也含惡意酬載。

    IoC：

        Main object – 3827.exe：

• md5
• 0563076ebdeaa2989ec50da564afa2bb
• sha1 
• ac14e7468619ed486bf6c3d3570bea2cee082fbc
• sha256
•  515ad6ad76128a8ba0f005758b6b15f2088a558c7aa761c01b312862e9c1196b

        Dropped executable file：

• sha256
•  C:\Users\admin\AppData\Local\Temp\Protect544cd51a.dll
•  dfce2d4d06de6452998b3c5b2dc33eaa6db2bd37810d04e3d02dc931887cfddd

DNS requests：taretool[.]pw

Connections：
• 104[.]21[.]21[.]50
• 224[.]0[.]0[.]252

HTTP/HTTPS requests：

• hxxp://taretool[.]pw/api
• hxxp://www[.]patrickforeilly[.]com/eco/
• hxxps://www[.]patrickforeilly[.]com/eco/
• hxxps://www[.]robertoscaia[.]com/eco/
• hxxps://fuelrescue[.]ie/eco/
• hxxps://www[.]7-zip[.]org/a/7zr[.]exe

        建議改善措施：

1. 不要隨意安裝來路不明之程式或點擊任意連結。
2. 於防火牆阻擋惡意網域，藉以避免使用者連線至該網域。
3. 儘速導入雲智維服務，進行資安威脅情資偵測與聯防，降低企業資安風險。

        情資報告連結：https://perception-point.io/blog/behind-the-attack-lumma-malware/