Trend Micro 研究人员近期发现滥用 IQY（internet query file）文件的攻击活动增多，与今年 7 约检测到的传播 FlawedAmmyy RAT 的垃圾邮件活动类似。犯罪分子选用 IQY 文件的原因可能是其简单的结构可以绕过基于结构的检测方法。

研究人员还发现 Cutwail 僵尸网络也滥用 IQY 文件来传播垃圾邮件。该垃圾邮件活动主要针对日本用户，传播的恶意软件有 BEBLOH 和 URSNIF。发送的垃圾邮件使用社会工程技巧来尝试诱骗用户点击含有 " 支付 "、" 照片 "、" 请确认 " 等相关内容的附件。研究人员 2018 年 8 月 6 日发现了该活动，并成功发送大约 50 万封垃圾邮件。垃圾邮件从 8 月 9 日其逐渐减弱。

图 1. 2018 年 8 月 6 日到 10 日检测到的垃圾邮件量

感染链

图 2. 垃圾邮件感染

研究人员对 8 月 6 日的第一波垃圾邮件进行了分析，发现如果用户打开了 IQY 附件，恶意附件就会查询代码中隐藏的 URL。Web 查询文件会从目标 URL 中取回可以滥用 Excel DDE 特征的脚本文件，并写入 Excel 文件中。这就开启了 PowerShell 进程的执行，会检查受感染的设备的 IP 地址是否位于日本。如果是日本的 IP 地址，就会触发 BEBLOH 或 URSNIF 的 final payload，如果不是日本的 IP 地址，就不会下载 payload。

图 3. 8 月 6 日的第一波垃圾邮件样本

邮件主题为 " 照片 "，邮件正文为 " 感谢您的帮助，我会以 XLS 版本发送，请查收附件，谢谢 "。

研究人员 8 月 8 日检测到第二波垃圾邮件，其中用来下载 final payload 的 PowerShell 脚本是经过混淆的，这是一种防止恶意软件分析人员进行分析的常用手段。Payload 中只有 URSNIF 恶意软件。除了这些变化外，该活动的感染链与第一波垃圾邮件的感染链很相似。

图 4. 8 月 8 日的第二波垃圾邮件样本

邮件主题为 " 照片 "，邮件正文为 " 感谢您的帮助，我会发送一张照片 "。

图 5. PowerShell 脚本代码段

图 6. 混淆的 PowerShell 脚本代码段

BEBLOH 和 URSNIF

BEBLOH 和 URSNIF2016 年在日本比较活跃。BEBLOH 是一款银行木马，可以在用户毫不知情的情况下从受害者的银行账户中窃取钱财。URSNIF 是一款窃取数据的恶意软件，通过钩子可执行文件监控浏览器，并使用简单检查来绕过沙箱检测。

研究人员对 BEBLOH 样本 TSPY_BEBLOH.YMNPV 分析发现，它还通过加入注册表来开启自动执行的方式修改系统。收集的用户数据有：

资源管理器文件信息

键盘布局

计算机名

网络配置信息

操作系统信息

硬盘序列号

URSNIF 样本 TSPY_URSNIF.TIBAIDO 除了对系统进行修改外，还收集以下数据：

截图

剪贴板日志

Cookies

数字证书

邮件凭证

安装的设备驱动

安装的程序

IP 地址

键盘日志

运行的进程和服务

系统信息

URSNIF 变种会将窃取的信息保存到文件中，然后上传、监控网络浏览活动、查看目标进程 API 调用、关闭 Firefox 中的协议、如果在虚拟机或沙箱中运行还可以中止执行。