摘要 我们一直在跟踪垃圾邮件活动，其中将附加的恶意Publisher文件用作恶意宏下载程序。 与其他文档文件（如 DOC（Word）和 XLS）不

我们一直在跟踪垃圾邮件活动，其中将附加的恶意Publisher文件用作恶意宏下载程序。 与其他文档文件（如.DOC（Word）和.XLS）不同，其背后的网络分子可能会在一年中最忙的一个季度内利用.PUB文件作为宏下载程序，因为它与可能的感染没有关联。 （Excel）。

[阅读：相同但又崭新：恶意软件垃圾邮件附件中出现了新的文件类型] 行为

这些经过操作的.PUB文件下载了恶意的MSI文件，并在访问命令和控制（C＆C）服务器后在用户计算机上安装了远程访问木马（RAT）。 选择使用.MSI文件可能是逃避的手段，因为它们与合法的Microsoft Installer文件相关联。 执行后，.PUB文件将显示以下内容：

图1.执行时的.PUB文件

遥测的数据告诉我们，大多数目标都在食品和零售行业以及一些政府机构中。 在11月20日至27日之间，我们已经发现有50多家属于这些行业的公司屡次成为受垃圾邮件拦截的目标，其中包括农业部和食品药品监督管理局，食品行业的星巴克和Taco Del Mar，以及Harris Teeter 以及零售业中的Save Mart超市。

[阅读：垃圾邮件运动希望吸引加拿大皇家银行客户]

网络分子使用社交工程技术，可能针对这些公司的特定办公室，因为电子邮件地址伪装成“运营部门”，而附件的文件名为“ invoice.pub”。

图2。使用“运营部”签名的电子邮件示例

[阅读：垃圾邮件活动通过.WIZ传播恶意软件，目标银行]

此外，当我们浏览从检测反馈中收到的电子邮件的浪潮时，我们发现在11月的前两周中有针对金融部门的电子邮件。 这可能意味着网络分子最初是针对金融机构的，其中包括法国的La Banque Postale，柯达Mahindra银行，建设银行和Natixis。

图3.发送到金融机构的电子邮件示例

对于这些类型的攻击，通常的感染链使用恶意的Word文档或Excel文件作为宏下载程序，并使用PowerShell功能来传递.EXE有效负载。 但是，此恶意软件使用受感染的.PUB作为恶意宏下载程序，但计划下载和执行.MSI文件的任务，而不是立即或直接执行。 附加的检测规避层允许msiexec进程属于调度程序，而不是由发布程序执行宏。 一旦安排好了，该任务现在就属于 msiexec，/ q / I {url} 的常规参数，可以自动安装文件，而无需其他用户交互。

网络罪犯使用的技术并不是新技术。 但是，侦查规避策略增加了通常的感染链，并且有效载荷传递行为使其具有独特性。

图4.比较常用的宏病毒程序与恶意.PUB的感染链

[阅读：垃圾邮件活动针对，使用隐写术提供BEBLOH银行木马]

我们目前正在跟踪并调查此广告系列。 我们最近的检测结果表明，网络罪犯已恢复使用.DOC文件并提供不同的恶意软件有效负载的常规例程，但是具有相似的编码风格，垃圾邮件布局和目标公司。 网络分子将继续将旧技术与新技术结合在一起，并使用合法的应用程序和工具渗透企业进行恶意活动。 确保您对这些威胁保持领先： 更新您的系统和软件，以防止网络分子利用可能过时的入口点。 请注意带有附件的紧急邮件。 如果电子邮件地址和文件是合法的，请与以前的通信和交易进行比较和验证。 使用多层安全解决方案，该解决方案可以扫描和阻止带有恶意附件和URL的电子邮件。

趋势科技解决方案

趋势科技（TM）网关讯息安全（趋势科技）通过趋势科技网络防御解决方案的一部分，通过全球威胁情报阻止电子邮件威胁，通过数据丢失防护和加密保护您的数据，并确定目标电子邮件攻击，勒索软件和APT。 趋势科技Smart Protection Network™增强了其网络声誉，并阻止了在邮件正文或附件中带有恶意URL的电子邮件。

趋势科技Deep Discovery™具有电子邮件检查层，可通过检测恶意附件和URL来保护企业。 即使未在物理端点中下载威胁发现设备，威胁发现设备也可以检测到该脚本。 趋势科技托管电子邮件安全解决方案是一种无需维护的云解决方案，可提供不断更新的保护，以阻止垃圾邮件，恶意软件，鱼叉式网络钓鱼，勒索软件和高级针对性攻击，使其无法进入网络。 此外，趋势科技反垃圾邮件引擎无需使用签名即可检测和阻止恶意文件。 托管电子邮件安全性可以保护Microsoft Exchange，Microsoft Office 365，Google Apps以及其他托管和本地电子邮件解决方案。

趋势科技™电子邮件信誉服务™会在到达时检测到此威胁使用的垃圾邮件。 具有XGen™端点安全性的趋势科技™OfficeScan™与其他检测技术和全球威胁情报融合在一起，实现了高保真机器学习，从而全面防御了高级恶意软件。

妥协指标

哈希：

SHA1

SHA256

说明

检测

2346056432b47fae7b96b75599e1772da0f7209e

874cd2ec55b9ac69a9594ff9338adbed95226a8a736c6e8638060684abd3d110

恶意.PUB文件

Trojan.Win32.RMSRAT.THAABCAH

ce2412ece9fbf34e11229d07aa7c2a20b7fa9621

8493b0150d5fd56e527dd4cd0e16813826981ccbb296fb9eac972b720bba9bc5

恶意MSI文件

Backdoor.Win32.RMSRAT.THAABCAH

3042d91d1f31e8ee5ee8627bf69327a01516ff60

e187fa57475bae6187ba7a1aad04f29673dcf0b126507779fa08f2ffc48eec18

受密码保护的自解压归档文件

Backdoor.Win32.RMSRAT.THAABCAH

651b8d1377910e4728e85dcd231e269313ab9e1d

609b0a416f9b16a6df9b967dc32cd739402af31566e019a8fb8abdf3cb573e30

.EXE RAT文件

PUA.Win32.RManSys.AA

恶意域/ URL： hxxp：// homeofficepage [。] com / TabSvc（MSI文件的来源） 89.144.25.16/backnet（C＆C）

还有Junestherry Salvador和Byron Gelera的更多见识

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时候联系我们修改或删除，多谢