社交工程攻击揭示的新型恶意软件传播方式

关键要点

攻击起源：攻击始于一通伪装成快递公司的电话，诱导员工进行复杂操作。社交工程：利用社交工程技巧，攻击者成功获取了员工的信任，并让其下载恶意软件。技术手段：邮件中伪装的PDF附件实际上是静态图像，诱导用户点击链接。恶意软件存储：攻击者使用特殊手段隐藏恶意脚本，伪装成正常软件。员工反应：敏锐的员工在受到感染后迅速断开网络，防止了更大的损失。

在进行一台被感染的电脑的事后调查时，Sophos XOps发现这一攻击起始于一通看似无害的电话。来电者引导瑞士一家企业的员工启动了一条复杂的攻击链，结果导致该员工的电脑被侵入。

Sophos事件响应分析师发现，攻击者可能是针对该接听电话的员工进行的个性化攻击，精心设计了一系列社交工程手段，最终成功控制了目标的电脑，直到该员工及时拔掉了以太网线，使得攻击暂时中断。警觉的员工意识到情况不对，及时切断了网络连接，但在此之前，恶意载荷已经开始作恶。

电话欺骗

来电者的声音听起来像是一位中年男性，他告诉员工自己是一名快递司机，手上有一个急需送达公司某个地点的包裹，但没人接收。他要求员工提供新的送货地址以便重新送达。在这之后，他继续要求员工朗读一串由快递公司发送的代码。

在电话沟通期间，员工收到了看似来自快递公司的电子邮件。下面的邮件内容用法语撰写宣称附件中的PDF文件包含快递司机需要获取的代码。

邮件内容示例“您的文档已经由快递服务发送，但尚未与目的地联系由于安全原因，若没有正确代码，无法进行投递。代码只能通过附加的PDF获取。”

尽管邮件是用法语撰写，技术线索却显示攻击者知道瑞士目标可能是德语使用者。邮件中嵌入的HTML包含德语注释，暗示邮件的内容实际上是用几种语言组合而成。

社交工程的复杂设计

这个邮件的点开引发了后续攻击链的操作，但可能并不是你所想象的那样。邮件其实并没有真正的PDF附件，而是嵌入了一个看似附件的图像。员工本以为是点击附件实际上触发了Outlook访问一个网站。

这种攻击机制让分析师感到相当复杂。借助电话引导目标点击电子邮件；精心设计的邮件中没有正文内容；通过一个普通网站host的重定向脚本引导目标前往恶意网站，这些复杂性似乎都目的明确。

邮件信息恶意网站内容特征嵌入虚假附件静态图使用无害网站进行重定向邮件语言法语目标网页实际为攻击者控制的页面

追踪与隐蔽

在攻击过程中，记录显示员工在本地时间上午1116点击了恶意链接，随后下载了一个名为sendungN0301216092022com的可执行文件，并双击执行。该操作激活了名为SECURE DELIVERY SERVICEEXE的程序。

考量到我们在事后分析时，受到的访问信息有限，攻击者迅速清理了痕迹，导致我们无法查看到许多重要数据。然而，在被攻击的设备上，我们发现了一些残留的痕迹，尤其是一些未被删除的文件中隐藏了恶意代码。

在一份错误可执行的文件中，攻击者巧妙地把恶意程序伪装成了文本编辑器Notepad的“便携”版本，且文件结构与官方版本相似，增加了感染的隐蔽性。

狂飙app官网

恶意软件及其传播

随着攻击的推进，攻击者在受害者的设备上下载并运行了多个PowerShell脚本，但到