我们最近的观察发现Cutwail僵尸网络分发滥用IQY文件的垃圾邮件。垃圾邮件活动专门针对日本的用户，提供BEBLOH(Trend Microas检测到的BEBLOH)。TSPY_BEBLOH.YMNPV)或URSNIF(TSPY_URSNIF.TIBAIDO)恶意软件。

垃圾邮件试图欺骗用户使用传统的社交工程诱饵点击附件，例如“支付”、“发送的照片”、“附加的照片”和“请确认”等。该活动于2018年8月6日被发现，并成功分发了约50万封垃圾邮件。自8月9日以来，垃圾邮件分发已经停止。

图1.2018年8月6日至10日检测到的大量垃圾邮件

图2.垃圾邮件运动的感染

根据我们对8月6日检测到的第一波垃圾邮件的分析，如果用户打开附加的IQY文件，它将查询其代码中指示的URL。Web查询文件将包含可滥用Excel动态数据交换(DDE)功能的脚本的数据从目标URL中提取到Excel文件中。这允许执行PowerShell进程，该进程检查受感染机器的IP地址是否位于日本。日本IP地址触发BEBLOH或URSNIF的最终有效载荷，但如果从另一个国家检测到IP地址，则不会下载最终有效负载。

图3.从8月6日开始的第一波发行中，垃圾邮件示例

翻译成中文，主题是“照片附件”，而短信正文上写着“永远感谢你的帮助”。我会把它用XLS版本发送。请查看附件，谢谢。事先谢谢你。

在8月8日检测到的第二波垃圾邮件中，用于下载最终有效负载的PowerShell脚本被混淆了-这是一种常见的方案，用于使安全解决方案难以分析脚本。我们还观察到，URSNIF已成为有效载荷中唯一的恶意软件。除了这些变化外，该运动的感染链仍与第一波垃圾邮件类似。

图4.从8月8日开始的第二波垃圾邮件样本

翻译成中文，主题是“照片”，而留言体说“谢谢你的帮助”。我会寄一张照片。

图5.PowerShell脚本的代码片段

图6.模糊的PowerShell脚本的代码片段

BEBLOH与URSNIF

BEBLOH和URSNIF显著主动2016年在日本。BEBLOH是一种银行特洛伊木马，目的是在受害者甚至没有注意到的情况下从他们的银行账户中偷钱。与此同时，URSNIF被认为是一种窃取数据的恶意软件，其行为包括钩用于浏览器监视和使用的可执行文件简单检查躲避沙箱探测等等。

我们对TSPY_BEBLOH.YMNPV(参与此活动的BEBLOH变体)的分析发现，它通过添加注册表项来修改受感染的系统，从而使其能够在每次系统启动时自动执行。将收集下列数据：

1）资源管理器文件信息

2）键盘布局

3）机器名称

4）网络配置(IP地址、套接字、端口)

5）OS信息(版本、产品ID、名称、安装日期)

6）卷序列号

除了通常的系统修改外，TSPY_URSNIF.IBAIDO还收集以下数据：

1.捕获画面

2.剪贴板日志

3.计算机名称

4.曲奇饼

5.数字证书

6.电子邮件凭证

7.已安装设备驱动程序

8.安装程序

9.IP地址

10.键盘日志

11.运行进程和服务

12.系统信息

WF曲速未来表示：这一版本的URSNIF将被盗的信息保存在文件中，然后上传，监视互联网浏览活动，挂钩目标进程的API，禁用Mozilla Firefox中的协议，并在虚拟机或沙箱下运行时终止自身。

本文内容由区块链安全公司WF曲速未来翻译编排，转载请注明来自WF曲速区。WF是交易所与超级节点的安全技术提供商，为区块链交易所提供媲美某猫双十一级别的账户安全与交易安全对抗云引擎，现交易所每日安全攻防调用量达亿级。