當下黑客中最流行的電子郵件惡意軟件投送技術

隨著微軟Office“禁宏令”的實施，越來越多的網絡犯罪分子開始轉向使用快捷方式(LNK)文件來投送電子郵件惡意軟件（包括QakBot、IceID、Emotet和RedLine Stealer等）。快捷方式文件正在取代Office宏（現已默認被阻止），成為黑客通過電子郵件投送惡意軟件感染PC的流行方式。

電子郵件安全的最新趨勢

根據HP Wolf Security最新發布的2022年第二季度威脅洞察報告（提供對現實世界網絡攻擊的分析）顯示，包含惡意軟件（包括LNK快捷方式文件）的存檔文件增加了11%。攻擊者經常將快捷方式文件放在ZIP電子郵件附件中，以幫助他們避開電子郵件安全掃描。

該團隊還發現了可以在黑客論壇上購買的LNK惡意軟件生成器，可創建武器化的快捷文件并將其傳播給企業，網絡犯罪分子可以輕松地轉向這種“無宏”代碼執行技術。

“企業必須立即采取措施，防范越來越受到攻擊者青睞的新技術，或者在它們變得普遍時讓自己暴露在外。我們建議盡可能立即阻止以電子郵件附件形式接收或從Web下載的快捷方式文件。”報告指出。

除了LNK文件的增加外，報告還強調攻擊者正積極使用以下三種惡意軟件傳播/檢測規避技術：

• HTML smuggling達到臨界規模——調查發現了幾起網絡釣魚活動冒充本地郵政服務或者重大會議活動（例如2023多哈世博會）以及HTML smuggling來傳播惡意軟。使用這種技術，原本會被電子郵件網關阻止的危險文件類型可能會被偷運到組織中并導致惡意軟件感染。
• 攻擊者利用Follina CVE-2022-30190零日漏洞的漏洞窗口——在其披露后，多個威脅參與者利用了微軟支持診斷工具(MSDT)中最近的零日漏洞——被稱為“（Follina）”。在該漏洞補丁可用之前分發QakBot、Agent Tesla和Remcos RAT（遠程訪問木馬）。該漏洞特別危險，因為它允許攻擊者運行任意代碼來部署惡意軟件，并且幾乎不需要用戶交互即可在目標機器上利用。
• 新穎的執行技術，例如通過隱藏在文檔中的shellcode傳播SVCReady惡意軟件。

報告中的其他主要發現包括：

• 14%的電子郵件惡意軟件繞過了至少一個電子郵件網關掃描程序
• 威脅攻擊者共使用593個不同的惡意軟件家族感染企業，而上一季度這個數字為545個
• 電子表格仍然是最主要的惡意文件類型，但威脅研究團隊發現存檔威脅增加了11%。這表明攻擊者越來越多地在發送文件之前將文件放在存檔文件中以逃避檢測
• 69%的惡意軟件通過電子郵件傳遞，網絡下載占17%
• 最常見的網絡釣魚誘餌是商業交易，例如“訂單”、“付款”、“購買”、“請求”和“發票