跳到主要內容區塊

資通安全專區

資訊安全:垃圾郵件攻擊行動散布金融木馬IcedID、QakBot
垃圾郵件攻擊行動散布金融木馬IcedID、QakBot

資安業者卡巴斯基於3月中旬發現2起垃圾郵件攻擊行動「DotDat」與「Summer.gif」,2者皆使用英文書寫郵件,並夾帶Zip壓縮檔附件或提供下載連結,目的為散布金融木馬,其中多數郵件夾帶之金融木馬為IcedID,部分郵件則夾帶另一金融木馬QakBot。

此2起攻擊行動顯著差異為散布木馬程式之方式,DotDat攻擊行動中,駭客寄送夾帶Zip壓縮檔附件之垃圾郵件,郵件內容與取消作業或賠償要求相關。Summer.gif攻擊行動中,駭客則於垃圾郵件中提供下載連結,下載名稱為「documents.zip」、「document-XX.zip」或「doc-XX.zip」之壓縮檔,其中XX表示2個隨機字元。此外,Zip壓縮檔皆含有惡意Excel檔,若使用者點擊該檔案並啟動巨集,即會呼叫Windows API函數,透過作業系統提供之機制,下載金融木馬IcedID或QakBot,以規避防毒軟體偵測。

卡巴斯基指出,攻擊行動高峰時期,每天至少偵測到100次攻擊行動。其中,遭受攻擊次數最多之國家為中國,其次為印度,其他遭受攻擊之國家包括義大利、美國及德國。

Reference
資料來源:

https://securelist.com/malicious-spam-campaigns-delivering-banking-trojans/102917/

https://threatpost.com/spam-icedid-banking-trojan-variant/167250/

技術服務中心整理

Publish Date
2021/6/25 上午 12:00:00
最後異動時間:2021-07-12 上午 08:05:38
TOP