2014年2月25日 星期二

愈來愈多惡意軟體嵌入RTF檔案,會竊取帳密

愈來愈多惡意軟體嵌入RTF檔案,會竊取帳密

網路犯罪份子之前就利用過RTF(Rich Text Format)檔案,不過看來最近他們又更有創意的去利用這個格式。

Trojan 木馬

趨勢科技之前談論過CPL檔案如何被嵌入到RTF文件,並且以附件檔的方式傳送給目標受害者。這些CPL檔案接著會下載惡意檔案並執行在受影響的系統上。

早期樣本裡的指示使用的是葡萄牙文,不過現在較新的樣本則是使用德文:


圖一、德文的RTF文件

總的來說,所用的手法還是一樣 – RTF檔案內含一個嵌入的「收據」,並指示使用者去打開這份收據。打開該檔案會執行CPL惡意軟體,它會接著下載其他的惡意檔案。


圖二、RTF文件碼

在此案例裡,該網址已經無法存取,所以我們無法百分百地肯定接著會下載的是什麼。不過之前的案例使用過資料竊取程式,所以這次很有可能也是一樣。我們將這CPL惡意軟體變種偵測為TROJ_CHEPRTF.SM2 木馬病毒。

另一起案例也將惡意軟體嵌入RTF檔案,但這次的嵌入惡意軟體屬於ZBOT惡意軟體家族。這個ZBOT變種被偵測為TSPY_ZBOT.KVV 木馬病毒,它會竊取使用者名稱和密碼,像是電子郵件、FTP和網路銀行。

這些事件強調了網路犯罪技術一直在提升。RTF文件可能已經被用在許多案例之中,只是使用者並不知道RTF檔案可以被用來散播惡意軟體。即使他們知道,他們也未必能夠很容易地確認哪些檔案是惡意的,而哪些不是。

此外,使用RTF檔案來散播ZBOT並不尋常,因為它通常是透過其他的方式(如下載程式、惡意網站或垃圾郵件)散播。這顯示出網路犯罪份子是如何地願意接受新方法來達到自己的目的。

趨勢科技強烈建議使用者在打開電子郵件和附件檔時要小心謹慎。在可以確認之前,絕對不要下載並打開附件檔。企業應該在網路上部署郵件掃描解決方案,並啟動對電子郵件的掃描。

原文出處:More Malware Embedded in RTFs 作者:Jeffrey Bernardino(威脅研究員)
轉載自《雲端運算與網路安全趨勢部落格》