TorrentLocker重砲回歸 – 義大利、瑞典成為首要目標

2016-5-4

 

 

自2016/2/14開始,我們一直都在關注著TorrentLocker利用PostNord和Enel做為誘餌主題的新趨勢。目前這些惡意郵件主要是針對瑞典和義大利地區的使用者,不同於過去TorrentLocker運用註冊不同網域名稱進行引誘的詐騙手法,現在已改為直接在合法的受害網站上進行詐騙。

郵件引誘手法
我們可以從郵件中看到惡意寄件者假裝自稱是來自PostNord物流公司,不過有些時候惡意分子也會佯裝成義大利國家電力公司(Enel),來發送類似以下的詐騙通知。

 

如果使用者點擊了郵件中的連結,那麼將會被導引到一個受害網站。被感染的站點雖然是PostNord或Enel的合法網站,但實際上卻是在試圖誘拐使用者下載惡意軟體。

受害網站
以往的TorrentLocker惡意活動會在郵件中掛載的連結位置,通常都是新註冊的網域名稱。然而,現在的假網站是直接內嵌在受害網站本身。如此一來TorrentLocker的站點因為沒有新註冊的資訊,所以不容易被偵測觀察出它其實是個假網站。

從我們分析的案例中發現,當我們點擊了郵件中的連結,將會看到以下的PostNord假網站。不過僅適用於使用瑞典地區IP的時候,如果是使用其他地區的IP則會被重新導引到Google頁面。

PostNord假網站頁面

詐騙詭計繼續進行著。頁面中要求我們輸入圖形驗證碼以下載運輸標籤。運輸標籤是用於處理包裹運輸上的問題。當然這都是騙人的,相反的實際上我們被指定到下載包含EXE的ZIP檔案。而這項屬於TorrentLocker的惡意檔案,目前託管在Yandex。

 

TORRENTLOCKER PAYLOAD
這個下載下來的EXE執行檔其實就是TorrentLocker勒索軟體。經由分析的過程中,我們發現到開啟檔案後,惡意程式會連到以下位置的C&C伺服器,並且把使用者的檔案進行加密:

 

之後,我們就會看到以下關於交付贖金的勒索畫面。

 

TorrentLocker在這裡稱呼自己是Crypt0L0cker,我們經由連結進到了付款頁面以及獲得499美元期限解密優惠的訊息。

 

這個勒索金額與我們在去年12月發現到的CryptoWall 4.0不相上下,相關的勒索金額也可能因使用者被加密的檔案數量差異而有所不同。

實用建議
這項惡意活動要成功執行,十分仰賴使用者的操作。所以使用者只要留意以下4個步驟,就可以大大降低被感染的風險:
1.不要點擊詐騙郵件內嵌連結,並直接刪除可疑郵件。
2.確認被帶到的頁面是否為假網站,並且不要輕易輸入圖形驗證碼。
3.確認下載的ZIP檔案是否為惡意檔案,而不是直接打開它。
4.千萬不要開啟ZIP檔案中的執行檔。

 

防護機制
Forcepoint™透過TRITON®ACE保護客戶免於此類型的威脅攻擊,並在以下不同的攻擊分析階段發揮有效保護:

第2階段(引誘)- 封鎖假冒PostNord物流和義大利國家電力公司的郵件,除此之外,還會偵測並封鎖假網站。

第5階段(植入)- 偵測並封鎖TorrentLocker惡意程式掛載。

第6階段(後端回傳)- 偵測並封鎖TorrentLocker試圖聯繫後端C&C伺服器的惡意行為。

摘要總結
TorrentLocker依舊不斷利用受害網站和客製化郵件來躲避偵測並進行威脅攻擊。如果使用者過於輕忽看待,恐怕得為一時疏忽付出近500美元的慘痛代價。如同過去老生常談的,要持續將重要檔案備份到獨立安全的設備上,並且養成仔細檢查郵件真偽的好習慣,才是實現自我保護的不二法門。


入侵感染指標(IOCs)

受感染網站名單請參閱原文「Compromised Websites」

 

TorrentLocker Payload Locations

 

 

TorrentLocker Payload SHA1s

 

TorrentLocker Command-And-Controls (C&Cs)

 

選擇Forcepoint™有效抵禦複雜的多階段攻擊,確保企業智慧財產的安全,勇敢面對充滿挑戰的資安新世界。了解更多Forcepoint™產品列表及詳細功能說明,請參閱湛揚科技官網Forcepoint™專區