新的垃圾邮件活动滥用SettingContent-ms文件传播FlawedAmmy RAT

趋势科技最近检测到了一场目的在于传播FlawedAmmy RAT（远程访问木马）的垃圾邮件运动，而这个RAT之前被Necurs僵尸网络作为其最终有效载荷安装在与银行和POS相关的用户域下的bot（“肉鸡”）上。

除此之外，这个垃圾邮件活动还被发现滥用了SettingContent-ms——一个主要用于创建Windows设置页面快捷方式的XML文件。恶意SettingContent-ms文件被发现嵌入在一个PDF文档中，用于释放前面提到的RAT。

图1.7月12日和13日的垃圾邮件数量

根据我们对7月12日和13日发送的垃圾邮件的研究和分析，在收到这些垃圾邮件的电子邮件帐户中，有超过50％属于位于马来西亚、印度尼西亚、肯尼亚、罗马尼亚、波兰和奥地利等国家的银行。

感染链 

图2.垃圾邮件活动的感染链

垃圾邮件使用诸如“发票（invoice）”或“重要公告（important announcement）”、“副本（copy）”、“扫描图像（Scanned image）”、“安全公告（security bulletin）”和“这是什么（whats this）”这样的主题来欺骗收件人。

上述邮件中附带的PDF文件包含有嵌入的JavaScript代码和一个“downl.SettingContent-ms”文件，类似于ProofPoint报告中所描述的内容。一旦用户打开了PDF文件，JavaScript代码将自动触发，以打开SettingContent-ms文件。

一旦“downl.SettingContent-ms”文件被打开，Windows将在<DeepLink>标签内运行PowerShell命令，该命令将在执行之前从hxxp://169[.]239[.]129[.]117/cal下载FlawedAmmyy RAT。 

图3.垃圾邮件样本，PDF附件包含嵌入的JavaScript代码和SettingContent-ms文件

图4. 嵌入的JavaScript代码，在打开PDF之后将自动触发

图5. 由JavaScript代码打开的“downl.SettingContent-ms”文件 

图6.用于打开“downl.SettingContent-ms”文件的JavaScript代码 

图7. 嵌入的JavaScript代码在打开PDF之后，将打开“downl.SettingContent-ms”文件

图8. “downl.SettingContent-ms”文件的内容，其中包含用于下载FlawedAmmyy RAT的PowerShell命令

垃圾邮件活动与Necurs僵尸网络的关联

最近，Necurs僵尸网络一直对具有特定特征的bot（“肉鸡”）表现出兴趣。在7月12日，Necurs将向它的bot（“肉鸡”）推送了一个模块——一个FlawedAmmyy RAT的下载程序（downloader）。该模块会检查域名是否包含以下任意关键字：bank、banc、aloha、aldelo和postilion（如图10所示）。其中，Aloha是一个餐厅POS系统，Aldelo是一个iPad POS系统，而Postilion是一个解决方案，可以通过各种渠道获取付款或交易，从ATM、POS到电子商务和移动设备。如果bot（“肉鸡”）的用户域符合Necurs的要求，它将从hxxp://169[.]239[.]129[.]117/Yjdfel765Hs下载并执行最终的有效载荷。 

图9.模块通过cmd命令echo %%USERDOMAIN%%获取bot的用户域 

图10.模块检查用户域是否包含特定的关键字

IoCs