散布金融木马IcedID、Qbot的垃圾邮件攻击再度出现，在中国、印度等地造成灾情

卡巴斯基于6月24日，揭露2起他们在3月中旬发现的垃圾邮件攻击行动：DotDat与Summer.gif，这些攻击的共通点，都是使用英文书写的邮件，并包含ZIP压缩档案的附件，或者是下载ZIP档案的连结，而且，攻击者发动攻击的目的，就是要散布金融木马。其中，大多数的邮件挟带的是IcedID，但卡巴斯基指出，他们看到部分邮件出现另一种木马QBot（亦称QakBot）。

针对攻击出现的频率，卡巴斯基指出，他们在攻击高峰的时期，这些木马程式的活动，每天会侦测到至少一百次。从地区来看，中国和印度都是在3月遭到IcedID与QBot攻击次数最多的国家，而意大利、美国、德国、俄国、法国也都有遭遇至少其中一种木马程式攻击的灾情。

无论是IcedID还是QBot，都不是新的恶意程式家族，但卡巴斯基指出，这两起攻击行动的散布木马程式手法，他们发现有多处与过往不同。

在DotDat与Summer.gif两起攻击行动中，最显著的差异之一就是挟带ZIP档案的方式──前者是包含在邮件之中，后者则是以连结的型式诱使受害者下载。从DotDat的攻击行动中，骇客会在邮件中附上ZIP档案的附件，佯称是一些取消操作或是索赔声明的资料，但实际上，这个ZIP附件档案内含恶意Excel档案，一旦使用者信以为真而开启，该Excel档案就会启动宏，并开始下载恶意酬载IcedID或QBot。

这个Excel档案内含的宏，是已被混淆处理的Excel 4.0宏公式，其功能是下载与执行恶意酬载。下载的过程中，该宏会产生URL，并呼叫Windows API的功能URLDownloadToFile，借由操作系统本身的机制，来执行下载金融木马的工作。

一旦成功下载恶意程式，攻击者也并非直接执行木马程式本身，而是透过EXEC功能与Rundll32来载入。

而另一起攻击行动Summer.gif里，骇客寄送的垃圾邮件包含了具有恶意压缩档案的网址连结，这些档案存放于遭骇的网站，档案名称为“documents.zip”、“document-XX.zip”，或者“doc-XX.zip”，其中XX代表2个随机的字元。

与DotDat攻击行动相同的是，这些ZIP档案内含带有宏的Excel档案，一旦使用者不小心执行这个Excel档案，就会开始下载其他的作案工具。卡巴斯基指出，这个Excel档案内含的宏，也与DotDat所使用的同样为Excel 4.0宏公式，并且滥用Windows操作系统的URLDownloadToFile功能。但在下载作案工具方式主要的不同之处，则是Summer.gif攻击行动的URL，骇客存放在恶意Excel档案的储存格里面。

从URL的内容看来，下载的档案名称是“summer.gif”，但卡巴斯基指出，这并非是GIF图档，而是可执行档案。这个宏触发该档案的方式，则是使用WMI和regsvr32。

关于Summer.gif攻击行动发生的过程，卡巴斯基指出，最高峰是在3月17日，但4月相关攻击则都消声匿迹。而在这两起攻击行动中，骇客所用来散布恶意软件的手法又更进一步，包含假冒取消操作等让受害者会感到压力的内容，诱使用户上当开启钓鱼邮件的附件或是连结，以及使用者上当之后，Excel宏公式下载恶意程式的管道，是经由操作系统的API，就地取材（LoL）而可能得以绕过防毒软件的拦截。如此刻意回避资安防护机制的做法，近期还有像是透过冒牌客服的BazaCall，攻击者改以客服引导受害者下载恶意软件的方式，而使得钓鱼邮件的恶意特征变得较为难以识别。