社交工程攻击揭示的新型恶意软件传播方式

关键要点

• 攻击起源 ：攻击始于一通伪装成快递公司的电话，诱导员工进行复杂操作。
• 社交工程 ：利用社交工程技巧，攻击者成功获取了员工的信任，并让其下载恶意软件。
• 技术手段 ：邮件中伪装的PDF附件实际上是静态图像，诱导用户点击链接。
• 恶意软件存储 ：攻击者使用特殊手段隐藏恶意脚本，伪装成正常软件。
• 员工反应 ：敏锐的员工在受到感染后迅速断开网络，防止了更大的损失。

在进行一台被感染的电脑的事后调查时，SophosX-Ops发现这一攻击起始于一通看似无害的电话。来电者引导瑞士一家企业的员工启动了一条复杂的攻击链，结果导致该员工的电脑被侵入。

Sophos事件响应分析师发现，攻击者可能是针对该接听电话的员工进行的个性化攻击，精心设计了一系列社交工程手段，最终成功控制了目标的电脑，直到该员工及时拔掉了以太网线，使得攻击暂时中断。警觉的员工意识到情况不对，及时切断了网络连接，但在此之前，恶意载荷已经开始作恶。

电话欺骗

来电者的声音听起来像是一位中年男性，他告诉员工自己是一名快递司机，手上有一个急需送达公司某个地点的包裹，但没人接收。他要求员工提供新的送货地址以便重新送达。在这之后，他继续要求员工朗读一串由快递公司发送的代码。

在电话沟通期间，员工收到了看似来自快递公司的电子邮件。下面的邮件内容（用法语撰写）宣称附件中的PDF文件包含快递司机需要获取的代码。

邮件内容示例
“您的文档已经由快递服务发送，但尚未与目的地联系由于安全原因，若没有正确代码，无法进行投递。代码只能通过附加的PDF获取。”

尽管邮件是用法语撰写，技术线索却显示攻击者知道瑞士目标可能是德语使用者。邮件中嵌入的HTML包含德语注释，暗示邮件的内容实际上是用几种语言组合而成。

社交工程的复杂设计

这个邮件的点开引发了后续攻击链的操作，但可能并不是你所想象的那样。邮件其实并没有真正的PDF附件，而是嵌入了一个看似附件的图像。员工本以为是点击附件实际上触发了Outlook访问一个网站。

这种攻击机制让分析师感到相当复杂。借助电话引导目标点击电子邮件；精心设计的邮件中没有正文内容；通过一个普通网站host的重定向脚本引导目标前往恶意网站，这些复杂性似乎都目的明确。

| 邮件信息 | 恶意网站
---|---|---
内容特征 | 嵌入虚假附件（静态图） | 使用无害网站进行重定向
邮件语言 | 法语 | 目标网页实际为攻击者控制的页面

追踪与隐蔽

在攻击过程中，记录显示员工在本地时间上午11:16点击了恶意链接，随后下载了一个名为sendung_N03012_16092022.com的可执行文件，并双击执行。该操作激活了名为SECUREDELIVERY SERVICE.EXE的程序。

考量到我们在事后分析时，受到的访问信息有限，攻击者迅速清理了痕迹，导致我们无法查看到许多重要数据。然而，在被攻击的设备上，我们发现了一些残留的痕迹，尤其是一些未被删除的文件中隐藏了恶意代码。

在一份错误可执行的文件中，攻击者巧妙地把恶意程序伪装成了文本编辑器Notepad++的“便携”版本，且文件结构与官方版本相似，增加了感染的隐蔽性。

恶意软件及其传播

随着攻击的推进，攻击者在受害者的设备上下载并运行了多个PowerShell脚本，但到