来自金融犯罪集团 TA505 的大规模垃圾邮件活动一直在传播包含 FlawedAmmyy RAT 攻击的流氓 PDF 文件,该攻击利用 Windows 10 设置页面中的 SettingContent-ms 文件。
从 7 月 16 日开始,安全监控公司开始报告包含这些恶意 PDF 的垃圾邮件活动增加,并且该活动一直持续到今天。 从表面上看,这次活动似乎是一种测试,因为打开恶意文件的后果只是让受害者 PC 上的控制面板打开; 似乎没有任何恶意软件或与之相关的其他不利影响。 虽然这种特定的攻击本身是无害的,但该活动正在证明恶意软件如何通过这种方式传播:通过利用 SettingContent-ms 文件中的弱点,攻击可以远程启动作者选择的任何文件——它只是用其他东西替换“control.exe”的问题。 这可能是 Powershell 命令、恶意文件,甚至是用于输入攻击者所需的任何输入的命令行。
最重要的是,这一切都是在用户不知情的情况下发生的。 该攻击绕过了 Windows 10 的内置防御,例如减少攻击面和自动检测嵌入式危险文件格式。
Proofpoint 的研究人员在 3 月份的一篇博客文章中说:
“对于受感染的个人来说,这意味着攻击者可能拥有对其 PC 的完全访问权限,从而使威胁参与者能够访问各种服务、窃取文件和凭据等等,”
“我们在大规模活动中看到了 FlawedAmmyy,可能会创建大量受感染的计算机,以及为参与者创造机会窃取客户数据、专有信息等的有针对性的活动。”
普通用户如何保护自己免受此类攻击? 幸运的是,这项研究的好消息是,这些攻击在很大程度上被主要电子邮件提供商标记为垃圾邮件,因此恶意电子邮件一开始就不应该到达用户的收件箱。 但是,假设确实如此,那么针对电子邮件攻击的最佳保护始终是常识。 您是否期待来自未知发件人的 PDF? 如果没有,请不要打开它。 鉴于这种攻击可以轻松绕过操作系统的检测,如果您碰巧看到电子邮件,故意打开它,然后打开附件,则没有太多选择。 您的防病毒软件有可能会捕获并删除它,但如果没有,唯一真正的选择是从备份中恢复您的操作系统,或者希望 Microsoft 发布针对此攻击的补丁程序。
总而言之,垃圾邮件活动继续成为传播恶意软件的主要威胁媒介并不奇怪,但这种攻击特别危险,因为它能够在用户不知情的情况下运行和执行用户 PC 上的任何文件。 这对于不是特别精通技术的用户来说尤其具有威胁性。 打开来自未知发件人的电子邮件时要非常谨慎,并将该建议也传递给您的非技术朋友和亲戚。
