趋势科技最近发现好几起利用热门文档代管服务Dropbox的垃圾邮件。邮件的内嵌链接会下载UPATRE恶意软件变种。UPATRE以下载恶意软件而恶名昭彰,其中包括ZBOT恶意软件、CryptoLocker勒索软件 Ransomware 和网银木马ZeuS,新变种甚至可以避开防病毒软件。
垃圾邮件会通过以下几种方式进行病毒传播:
1 、伪装成eFax传真通知邮件,并且在邮件内文加入Dropbox链接。一旦不知情的使用者点入链接,就会被导入到一个Dropbox网址,进而下载被侦测为TROJ_UPATRE.YYMV的恶意文档。一旦执行,它会下载一个ZBOT变种,侦测为TSPY_ZBOT.YYMV,它会植入一个被侦测为RTKT_NECURS.MJYE的Rootkit程序。该NECURS变种会在受感染系统上停用安全解决方案,造成进一步的感染。
(图一、垃圾邮件样本)
(图二、正常的eFax电子邮件通知)
2、伪装成来自NatWest银行,夹带了所谓的NatWest银行金融活动账单,它其实是TROJ_UPATRE恶意软件。同样的,它有着UPATRE-ZBOT-NECURS的感染链。根据趋势科技的调查,这波垃圾邮件攻击同样利用其他正常公司的名称,如Lloyds银行、eFax、Intuit、ADP、BBB和Skype等等。此类垃圾邮件中带有Dropbox链接,会重新导向加拿大药局网站。趋势科技已通知并发布了受影响账号的列表和那些看起来在Dropbox内托管恶意软件的账号。
3 、利用纳税作为主题的垃圾邮件也有着一样的UPATRE、ZBOT、NECURS感染链。根据趋势科技的统计资料,UPATRE仍是今年一月到五月通过垃圾邮件散播最多的恶意软件。
(图三:2014年一到五月透过垃圾邮件散播的恶意软件前五名)
以上这三种伪装方式是网络犯罪分子最常用的手段,他们会利用人们的好奇心,以流行事物为诱饵,滥用合法的Dropbox链接来诱使用户下载各种恶意软件,进而导致系统感染和数据窃取。 趋势科技 会侦测所有相关垃圾邮件样本和恶意档案来保护使用者免于此威胁。