趋势科技在最近发现滥用Web查询文件IQY的恶意活动有所增加，类似于今年6月份利用Necurs僵尸网络分发FlawedAmmyy RAT的垃圾电子邮件活动。网络犯罪分子似乎正是想要利用IQY文件结构简单的特点，以逃避基于结构的安全检测。 [出自:jiwo.org]

由趋势科技最新观察到的滥用IQY文件的垃圾电子邮件来自Cutwail僵尸网络。活动以日本用户为目标，交付了BEBLOH（由趋势科技检测为TSPY_BEBLOH.YMNPV）和URSNIF（由趋势科技检测为TSPY_URSNIF.TIBAIDO）恶意软件。垃圾电子邮件试图利用传统的社会工程来诱骗用户点击附件，比如类似于“payment”、“photos sent”、“photos attached”和“please confirm”这样的主题。该活动于今年8月6日被检测到，并在接下来的几天里共计分发了大约50万封垃圾电子邮件。到了8月9日，垃圾电子邮件的分发量开始急剧减少。

图1. 在2018年8月6日至10日检测到的垃圾邮件数量

感染链

图2.垃圾电子邮件活动的感染链

根据趋势科技对8月6日检测到的第一波垃圾电子邮件的分析，如果用户打开了附件中的IQY文件，那么它接下来将查询包含在其代码中URL。这个Web查询文件会将数据从目标URL提取到Excel文件中，其中包含一个脚本，而该脚本可以滥用Excel的动态数据交换（DDE）功能。如此一来，一个PowerShell进程将能够执行，该进程会检查受感染计算机的IP地址是否来自日本。如果IP地址来自日本，那么BEBLOH或URSNIF将会作为最终payload被下载；但如果IP地址来自其他国家，则不会下载最终的payload。

图3.从8月6日开始分发的第一波垃圾电子邮件的一个示例

在8月8日检测到的第二波垃圾电子邮件中，用于下载最终payload的PowerShell脚本被进行了混淆。这是一种常见的方法，用于使安全解决方案对脚本的分析更加困难。另外，趋势科技还观察到URSNIF已经成为了唯一被下载的payload。除了这些变化之外，该活动的感染链仍然类似于第一波垃圾电子邮件。

图4.从8月8日开始分发的第二波垃圾电子邮件的一个示例

图5.未混淆的PowerShell脚本的代码片段

图6.混淆后的PowerShell脚本的代码片段

BEBLOH和URSNIF

在2016年，BEBLOH和URSNIF 在日本非常活跃。BEBLOH是一种银行木马，旨在从受害者的银行账户中窃取资金。相对应的，URSNIF则是一种因窃取数据而为公众所知的恶意软件，其行为包括挂钩可执行文件以进行浏览器监控，以及使用简单的检查来逃避沙箱检测等。

趋势科技对TSPY_BEBLOH.YMNPV（此活动中的BEBLOH变种）的分析发现，它通过添加注册表项来修改受感染的系统，使其能够在每次系统启动时自动执行，并能够收集以下数据：

• Explorer文件信息
• 键盘布局
• 设备名称
• 网络配置（IP地址、套接字、端口）
• 操作系统信息（版本、产品ID、名称、安装日期）
• 卷序列号

TSPY_URSNIF.TIBAIDO（此活动中的URSNIF变种）除了系统修改之外，还能够收集以下数据：

• 获取屏幕截图
• 剪贴板的日志
• 计算机名
• Cookie
• 数字证书
• 电子邮箱凭证
• 已安装的设备驱动程序
• 已安装的程序
• IP地址
• 键盘记录
• 正在运行的进程和服务
• 系统信息

URSNIF的这个变种能够将窃取的信息保存在一个文件中然后上传、监视互联网浏览活动、挂钩目标进程的API，以及禁用Mozilla Firefox中的协议。如果在虚拟机或沙箱下运行，它还会终止自身进程。