垃圾邮件发送者每天都会发送几十亿封邮件,大多数都是俗套的广告信息,虽然烦人但是通常无害,但是这些消息中偶尔也会附有恶意文件。
为了引诱邮件接收人打开附件,它们通常都会被标记为有趣、有用或者重要的一些事物:比如工作文档、诱人的offer或者带有著名公司图标的礼品卡等等。
这些散布恶意软件的攻击者通常有一些最喜爱的文件格式,本文就来讨论这些今年最常用于藏匿恶意软件的文件类型。
1. ZIP和RAR档案
网络不法分子们常常将恶意软件藏于档案文件中,比如在情人节这天将GandCrab勒索软件藏于文件名为Love_You0891的ZIP文件中,或者在几周后发送带有Qbot木马的档案文件,而该木马专用于窃取数据。
今年我们还发现了WinRAR中一个有趣的特性,在创建档案时,我们可以设定解压规则从而将档案中的内容解压至系统文件夹,尤其是Windows的启动文件夹,从而使得被解压的程序可以在下次系统启动时运行。因此我们建议WinRAR用户立即更新来修复这个安全问题。
2. 微软Office文档
微软Office文件,尤其是Word文档(DOC、DOCX)、Excel表单(XLS、XLSX、XLSM)、幻灯片文件和模板文件,都是网络不法分子们喜欢使用的工具。这些文件中可以嵌入宏——一种在文件中运行的小程序,攻击者们常使用宏来下载恶意软件。
大多数情况下,这种附件以办公室员工为目标,它们伪装成合同、账单、税务通知和来自高级经理的紧急消息等等。比如,之前名为Ursnif的银行木马藏匿于一些意大利用户的缴费通知中,如果受害者打开文件并且允许宏运行(出于安全原因默认禁止运行),就会无意中下载木马程序。
3. PDF文件
很多人都知道微软Office文档中的宏的危险性,但是大家很少了解PDF文件中的”陷阱”。PDF文件也可以藏匿恶意程序,该文件格式可以被用来创建和运行JavaScript文件。
除此之外,网络不法分子们还很喜欢在PDF文档中安插钓鱼链接。比如,在某次垃圾邮件攻击中,黑客引诱用户访问一个向用户索要美运通账号的”安全”页面,而这些输入的登录信息无疑将被立刻转发给攻击者。
4. ISO和IMG磁盘镜像
ISO和IMG文件作为附件并没有之前几种文件类型那么常见,然而攻击者们最近也开始越来越多地注意到它们。这种文件——磁盘镜像——简单说就是CD、DVD或者其他磁盘的虚拟拷贝。
攻击者通过磁盘镜像将诸如Agent Tesla木马这种专门窃取登录信息的恶意软件送至受害者的计算机中。当镜像挂载时,其中的恶意可执行程序在设备上激活并安装间谍软件。有时网络不法分子们竟然会同时使用两种附件(ISO和DOC),显然是考虑到一种格式可能会失败。
如何处理具有潜在危险的附件
没有必要把所有附有档案文件或者DOCX/PDF的邮件全部放入垃圾文件夹,要想识破诈骗邮件,请记住以下几点:
- 不要打开来自未知地址的可疑邮件。如果你无法确定为何会在邮箱收到此邮件,那么很可能你并不需要这封邮件。
- 如果你的工作需要和陌生人邮件往来,请仔细检查发送者的地址和附件名称。如果发现任何奇怪的地方,请不要打开邮件。
- 除非你十分确定自己必须这么做,否则不要允许宏在来自邮件的文档中运行。
- 谨慎对待文件中的所有链接,如果不清楚某条链接为何出现在邮件中,请直接忽略它。如果你需要访问此链接,请在浏览器中手动输入链接中的网址。
- 采用可靠的安全解决方案,它们可以提示有关危险文件并将其阻拦,同时也可以在你访问可疑站点时发送警告。