攻防最前线：旨在传播Shade勒索软件的俄文垃圾邮件行动

网络安全公司ESET于近日发文称，在进入2019年1月以来，附件包含恶意JavaScript脚本的垃圾电子邮件数量开始大幅上升，而这种攻击载体在2018年几乎很少出现。在2019年1月的监测中，ESET公司的安全专家发现了大量采用俄文编写的垃圾电子邮件，它们旨在传播一种被称为“Shade”（或“Troldesh”，由ESET检测为Win32/Filecoder.Shade）的勒索软件。

初步调查结果显示，这似乎是在2018年10月爆发的一起旨在传播Shade勒索软件的恶意垃圾电子邮件活动的后续行动。

垃圾电子邮件活动分析

根据ESET公司的监测数据显示，在2018年10月份爆发的垃圾电子邮件活动一直持续到2018年12月下旬才略显平息（在圣诞节期间只有很少的发送量）。但是，从2019年1月中旬开始，每天的发送量开始成倍增加。

自2018年10月以来，旨在传播Shade勒索软件的垃圾电子邮件数量统计

正如文章一开始所描述的那样，另一种趋势是，附件包含恶意JavaScript脚本的垃圾电子邮件的“再度崛起”（被用作攻击载体）。

在过去的一年里，由ESET检测到的通过电子邮件附件发送的恶意JavaScript脚本数量统计

尤其值得注意的是，2019年1月旨在传播Shade勒索软件的垃圾电子邮件活动在俄罗斯表现得最为活跃，占所有恶意JavaScript附件的52％。其他受影响的国家还包括乌克兰、法国、德国和日本，如下图所示。

在2019年1月1日至1月24日期间，旨在传播Shade勒索软件的JavaScript附件数量统计

垃圾电子邮件的附件通常是一个名为“info.zip”或“inf.zip”的ZIP压缩文件，以“订单”为主题，伪装成来自某些合法的俄罗斯企业。比如，B&N银行和俄罗斯连锁商店Magnit。

垃圾电子邮件示例

恶意加载程序分析

ZIP压缩文件通常包含一个名为“Информация.js”的JavaScript文件（意为“信息”）。一旦提取并启动，这个JavaScript文件就会下载一个恶意加载程序（由ESET检测为Win32/Injector），进而解密并启动最终的有效载荷，即Shade勒索软件。

根据ESET安全专家的说法，这个恶意加载程序是从一个被黑掉的合法WordPress网站页面下载的，伪装成一个图片文件。为了黑掉这个WordPress网站页面，攻击者使用了密码暴力破解攻击。

ESET的安全专家表示，他们共发现了数百个这样的网页，所有这些网页的网址都以字符串“ssj.jpg”结尾，用于托管恶意加载程序。

此外，恶意加载程序还使用了声称由Comodo颁发的数字证书进行签名，但实际上是无效的——“签名者信息”中的名称和时间戳对于不同的样本来说，都是唯一的。

恶意加载程序使用的虚假数字签名

除此之外，恶意加载程序还试图伪装成合法的系统进程csrs.exe（微软客户端、服务端运行时子系统，Windows的核心进程之一）。为此，它把自己复制到“C:\ProgramData\Windows\csrss.exe”，其中“Windows”是恶意加载程序创建的隐藏文件夹，导致你通常无法在ProgramData文件夹中看到它。

恶意加载程序伪装成系统进程，使用从合法的Windows Server 2012 R2二进制文件复制的版本信息

Shade勒索软件分析

如上所述，这场恶意垃圾电子邮件活动的最终有效载荷是Shade勒索软件。该勒索软件首次出现是在2014年年末，并在之后经常出现，它能够对本地驱动器上的多种格式的文件进行加密。在2019年1月的活动中，它会将扩展名“.crypted000007”附加到被加密文件的文件名中。

勒索信以TXT文件（俄语和英语）呈现给受害者，该文件会出现在所有被加密文件所处的文件夹中，而勒索信的内容与之前出现在2018年10月活动中的勒索信的内容完全一致。

出现2019年1月活动中的Shade勒索软件勒索信

如何避免遭受侵害

一如既往，想要避免成为此类恶意垃圾电子邮件的受害者，请在打开任何附件或点击任何链接之前务必验证电子邮件的真实性。如有必要，请与发件人所在公司的官方网站提供的联系方式与对方取得联系。

鉴于在这场恶意垃圾电子邮件活动中攻击者还破坏了一些合法WordPress网站页面，为避免你的WordPress网站遭到入侵，请务必使用强密码和双因素身份验证，并确保定期更新网站本身以及同时使用的WordPress插件和主题。

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。