为了规避邮件防护系统的侦测,攻击者也在钓鱼邮件附带的附件上,尝试使用较为少见的文件格式,企图躲过检查。新加坡电信(Singtel)旗下的安全公司Trustwave,他们近期发现有攻击者发送的钓鱼邮件中,开始使用Windows镜像文件格式WIM(WindowsImageFormat),来作为附件文件的格式,传播年下半全球第3大的恶意软件AgentTesla。
使用这种不常见的附件文件格式并非首例。以往攻击者曾经滥用于钓鱼邮件的文件格式,是光盘映像文件,包含了ISO、IMG,以及DAA(DirectAccessArchive)等格式。
但有别于上述的光盘镜像文件格式,WIM是微软自WindowsVista开始,设计用来封装Windows操作系统的安装文件,以便网管人员部署使用,并能被多款压缩软件和光盘映像软件访问,例如7Zip、PowerISO,以及PeaZip等。
然而,Trustwave的研究人员指出,他们近期看到钓鱼邮件附带这种格式的附件文件,攻击者假冒DHL、Alphatrans等货运公司,发送发票或是托运单的名义,来传播这种钓鱼邮件。
根据Trustwave提供的钓鱼邮件截屏,攻击者附带的附件文件扩展名是.WIM.。该公司表示,这代表的是大型WIM文件的第一部分,也就是类似是压缩文件的分割文件做法。不过,Trustwave使用微软推出的WIM文件编辑工具ImageX,对这个WIM访问并分析,发现实际上这是个具备完整结构的WIM独立文件,并未进行压缩处理,而且没有其他分割的文件。
接着,研究人员又通过十六进制编辑器打开附件文件,他们发现WIM文件里藏匿了相同文件名的EXE可执行文件,Trustwave指出,他们所有看到的WIM附件文件里,都存在恶名昭彰的RAT木马程序AgentTesla,这个恶意程序是由.NET编写而成,一旦触发将会完全控制受害计算机,并且会借由多种渠道外泄资料,这些渠道包含了HTTP、SMTP,以及FTP等通信协议,还有即时通信软件Telegram等。而能使用上述的通信协议与Telegram外泄资料,也与Sophos在今年2月披露的AgentTesla第2版、第3版所具备的能力相同。
为什么攻击者会传播恶意软件AgentTesla?这款自年出现的木马程序,攻击者用来窃取受害计算机的机密,也经常通过钓鱼邮件作为渗透的渠道。而在AgentTesla具备上述的泄密能力后,攻击者可以不需通过电子邮件接收文件,能够减少自己身份被暴露的机会。
而利用WIM文件附带作案工具的手法,Trustwave认为,这种策略有别于上述提及的光盘镜像文件格式,大多数Windows计算机可以直接通过内置虚拟光盘挂载功能访问,但这项功能并不支持WIM文件格式,而难以得知内容是否有害。该公司表示,由于这种格式的附件并不常见,网管人员可以考虑封锁来应对相关攻击。