趋势科技近期发现好几起利用热门文档代管服务Dropbox的垃圾邮件。邮件的内嵌链接会下载UPATRE恶意软件变种。UPATRE下面载恶意软件而恶名昭彰,当中包含ZBOT恶意软件、CryptoLocker勒索软件 Ransomware 和网银木马ZeuS,新变种甚至能够避开防病毒软件。
垃圾邮件会通过下面几种方式进行病毒传播:
1、伪装成eFax传真通知邮件,而且在邮件内文添�Dropbox链接。一旦不知情的使用者点入链接,就会被导入到一个Dropbox网址,进而下载被侦測为TROJ_UPATRE.YYMV的恶意文档。一旦运行,它会下载一个ZBOT变种,侦測为TSPY_ZBOT.YYMV,它会植入一个被侦測为RTKT_NECURS.MJYE的Rootkit程序。该NECURS变种会在受感染系统上停用安全解决方式,造成进一步的感染。
(图一、垃圾邮件样本)
(图二、正常的eFax电子邮件通知)
2、伪装成来自NatWest银行,夹带了所谓的NatWest银行金融活动账单,它事实上是TROJ_UPATRE恶意软件。相同的,它有着UPATRE-ZBOT-NECURS的感染链。依据趋势科技的调查,这波垃圾邮件攻击相同利用其它正常公司的名称,如Lloyds银行、eFax、Intuit、ADP、BBB和Skype等等。此类垃圾邮件中带有Dropbox链接,会又一次导向加拿大药局站点。趋势科技已通知并公布了受影响账号的列表和那些看起来在Dropbox内托管恶意软件的账号。
3、利用纳税作为主题的垃圾邮件也有着一样的UPATRE、ZBOT、NECURS感染链。依据趋势科技的统计资料,UPATRE仍是今年一月到五月通过垃圾邮件散播最多的恶意软件。
(图三:2014年一到五月透过垃圾邮件散播的恶意软件前五名)
以上这三种伪装方式是网络犯罪分子最经常使用的手段,他们会利用人们的好奇心,以流行事物为诱饵,滥用合法的Dropbox链接来诱使用户下载各种恶意软件,进而导致系统感染和数据窃取。趋势科技会侦測全部相关垃圾邮件样本和恶意档案来保护使用者免于此威胁。