日前,Websense® ThreatSeeker®攔截到一波惡意電子郵件的攻擊,它們被偽裝成反病毒提示,警告用戶(hù)他們的賬號(hào)可能已經(jīng)被鎖定。信息中謊稱(chēng)受害者的郵箱地址之前一直向郵件服務(wù)器發(fā)送感染病毒的郵件,更誘騙受害者說(shuō),如果點(diǎn)擊郵件中URL下載一個(gè)免費(fèi)的遠(yuǎn)程殺毒工具,就有可能修復(fù)這種情況。當(dāng)然,這所謂的“免費(fèi)工具”實(shí)際上是一個(gè)惡意的可執(zhí)行文件,它將鏈接到惡意網(wǎng)站,后者將繼續(xù)在受害者的電腦上植入更多的惡意程序。
此次攻擊的量級(jí)似乎不高,在兩天的時(shí)間中,Websense安全實(shí)驗(yàn)室共截獲并鎖定了約2700封此類(lèi)郵件。Websense客戶(hù)在高級(jí)分類(lèi)引擎(ACE™)的保護(hù)下,不必?fù)?dān)心此類(lèi)攻擊。
在此次攻擊中,惡意電子郵件的標(biāo)題被設(shè)計(jì)成殺毒廠商的官方郵件模樣,如:[Symantec] - 您的電子郵件賬戶(hù)可能被鎖定!,而發(fā)件地址也會(huì)相應(yīng)地偽裝成:[email protected]、[email protected]、[email protected],或者[email protected]、[email protected]、[email protected]、[email protected],等等。
圖1:惡意郵件截圖
這是一個(gè)完全虛假的騙局,電子郵件中所謂的“掃描系統(tǒng)……”其實(shí)根本沒(méi)有發(fā)生。受害者被直接告知其電腦已感染worm W32.Swizzor.C-WORM蠕蟲(chóng)病毒,然后被提示下載清除工具,以保護(hù)電腦。
當(dāng)用戶(hù)點(diǎn)擊醒目的“下載”按鈕則會(huì)被定向到如下地址:
hxxp://www.protectedssl.net/removal/SymantecRemoval&2012&09.data=SwizzorC.php。
而用戶(hù)下載到的所謂清除工具,其實(shí)是來(lái)自hxxp://www.protectedssl.net/RemovalTool.exe的惡意文件。
Websense ACE™在針對(duì)第一個(gè)鏈接進(jìn)行分析時(shí),便能實(shí)時(shí)察覺(jué)異常狀態(tài),并保護(hù)用戶(hù)免受其害。
此外,作為Websense 網(wǎng)絡(luò)安全智能(CSI)服務(wù)的一部分,ThreatScope analysis也會(huì)將準(zhǔn)確地將RemovalTool.exe識(shí)別為惡意軟件,因?yàn)槠浯嬖谌缦滦袨椋?/p>
1.HTTP定向到托管惡意內(nèi)容的服務(wù)器
2.釋放一個(gè)或多個(gè)可執(zhí)行文件
3.HTTP定向到未分類(lèi)的服務(wù)器
4.通過(guò)惡意軟件篡改用戶(hù)常用的配置信息目錄中的系統(tǒng)文件
截止到發(fā)稿時(shí),Virustotal 統(tǒng)計(jì)報(bào)告顯示,42家提供免費(fèi)病毒掃描的反病毒商中,僅有3家將該文件識(shí)別為惡意軟件:
圖2:Virustotal 統(tǒng)計(jì)報(bào)告截圖
那么Websense是如何針對(duì)這類(lèi)威脅提供防護(hù)的呢?首先,Websense電子郵件安全產(chǎn)品通過(guò)網(wǎng)絡(luò)流量、聲譽(yù)和垃圾郵件規(guī)則進(jìn)行綜合分析,判斷此類(lèi)郵件是否為垃圾郵件,并加以阻截。另一方面,即使用戶(hù)點(diǎn)擊惡意鏈接,Websense的網(wǎng)絡(luò)安全產(chǎn)品(Web Security Gateway、Web Security Gateway Anywhere及Cloud Web Security)也可在載入U(xiǎn)RL的同時(shí)對(duì)其進(jìn)行實(shí)時(shí)的分析,以提供更高級(jí)別的防護(hù)。
京公網(wǎng)安備 11010502049343號(hào)