研究人员发现WIM映像档格式被用于钓鱼邮件攻击

为了规避邮件防护系统的侦测，攻击者也在钓鱼邮件夹带的附件上，尝试使用较为少见的档案格式，企图躲过检查。新加坡电信（Singtel）旗下的资安公司Trustwave，他们近期发现有攻击者寄出的钓鱼邮件中，开始使用Windows映像档格式WIM（Windows Image Format），来做为附件档案的格式，散布2020年下半全球第3大的恶意软件Agent Tesla。

使用这种不常见的附件档案格式并非首例。过往攻击者曾经滥用于钓鱼邮件的档案格式，是光碟映像档案，包含了ISO、IMG，以及DAA（Direct Access Archive）等格式。

但有别于上述的光碟映像档格式，WIM是微软自Windows Vista开始，设计用来封装Windows操作系统的安装档案，以便网管人员部署使用，并能被多款压缩软件和光碟映像软件存取，例如7Zip、PowerISO，以及PeaZip等。

然而，Trustwave的研究人员指出，他们近期看到钓鱼邮件夹带这种格式的附件档案，攻击者假冒DHL、Alphatrans等货运公司，寄送发票或是托运单的名义，来散布这种钓鱼邮件。

根据Trustwave提供的钓鱼邮件截图，攻击者夹带的附件副档名是.WIM.001。该公司表示，这代表的是大型WIM文件的第一部分，也就是类似是压缩档的分割档案作法。不过，Trustwave使用微软推出的WIM档案编辑工具ImageX，对这个WIM存取并分析，发现实际上这是个具备完整结构的WIM独立档案，并未进行压缩处理，而且没有其他分割的档案。

接着，研究人员又透过十六进制编辑器开启附件档案，他们发现WIM档案里藏匿了相同档名的EXE可执行档，Trustwave指出，他们所有看到的WIM附件档案里，都存在恶名昭彰的RAT木马程式Agent Tesla，这个恶意程式是由.NET编写而成，一旦触发将会完全控制受害电脑，并且会借由多种管道外泄资料，这些管道包含了HTTP、SMTP，以及FTP等通讯协定，还有即时通讯软件Telegram等。而能使用上述的通讯协定与Telegram外泄资料，也与Sophos在今年2月揭露的Agent Tesla第2版、第3版所具备的能力相同。

为什么攻击者会散布恶意软件Agent Tesla？这款自2014年出现的木马程式，攻击者用来窃取受害电脑的机密，也经常透过钓鱼邮件作为渗透的管道。而在Agent Tesla具备上述的泄密能力后，攻击者可以不需透过电子邮件接收档案，能够减少自己身份被曝露的机会。

而利用WIM档案夹带作案工具的手法，Trustwave认为，这种策略有别于上述提及的光碟映像档格式，大多数Windows电脑可以直接透过内建虚拟光碟挂载功能存取，但这项功能并不支援WIM档案格式，而难以得知内容是否有害。该公司表示，由于这种格式的附件并不常见，网管人员可以考虑封锁来因应相关攻击。