邮件附件中最为危险的四种文件类型

本文我们将分析解释最常被网络不法分子用来藏匿恶意软件的文件类型,以及如何防止被它们感染。

垃圾邮件发送者每天都会发送几十亿封邮件,大多数都是俗套的广告信息,虽然烦人但是通常无害,但是这些消息中偶尔也会附有恶意文件。

为了引诱邮件接收人打开附件,它们通常都会被标记为有趣、有用或者重要的一些事物:比如工作文档、诱人的offer或者带有著名公司图标的礼品卡等等。

这些散布恶意软件的攻击者通常有一些最喜爱的文件格式,本文就来讨论这些今年最常用于藏匿恶意软件的文件类型

1. ZIP和RAR档案

网络不法分子们常常将恶意软件藏于档案文件中,比如在情人节这天将GandCrab勒索软件藏于文件名为Love_You0891的ZIP文件中,或者在几周后发送带有Qbot木马的档案文件,而该木马专用于窃取数据。

今年我们还发现了WinRAR中一个有趣的特性,在创建档案时,我们可以设定解压规则从而将档案中的内容解压至系统文件夹,尤其是Windows的启动文件夹,从而使得被解压的程序可以在下次系统启动时运行。因此我们建议WinRAR用户立即更新来修复这个安全问题

2. 微软Office文档

微软Office文件,尤其是Word文档(DOC、DOCX)、Excel表单(XLS、XLSX、XLSM)、幻灯片文件和模板文件,都是网络不法分子们喜欢使用的工具。这些文件中可以嵌入——一种在文件中运行的小程序,攻击者们常使用宏来下载恶意软件。

大多数情况下,这种附件以办公室员工为目标,它们伪装成合同、账单、税务通知和来自高级经理的紧急消息等等。比如,之前名为Ursnif的银行木马藏匿于一些意大利用户的缴费通知中,如果受害者打开文件并且允许宏运行(出于安全原因默认禁止运行),就会无意中下载木马程序。

3. PDF文件

很多人都知道微软Office文档中的宏的危险性,但是大家很少了解PDF文件中的”陷阱”。PDF文件也可以藏匿恶意程序,该文件格式可以被用来创建和运行JavaScript文件。

除此之外,网络不法分子们还很喜欢在PDF文档中安插钓鱼链接。比如,在某次垃圾邮件攻击中,黑客引诱用户访问一个向用户索要美运通账号的”安全”页面,而这些输入的登录信息无疑将被立刻转发给攻击者。

4. ISO和IMG磁盘镜像

ISO和IMG文件作为附件并没有之前几种文件类型那么常见,然而攻击者们最近也开始越来越多地注意到它们。这种文件——磁盘镜像——简单说就是CD、DVD或者其他磁盘的虚拟拷贝。

攻击者通过磁盘镜像将诸如Agent Tesla木马这种专门窃取登录信息的恶意软件送至受害者的计算机中。当镜像挂载时,其中的恶意可执行程序在设备上激活并安装间谍软件。有时网络不法分子们竟然会同时使用两种附件(ISO和DOC),显然是考虑到一种格式可能会失败。

如何处理具有潜在危险的附件

没有必要把所有附有档案文件或者DOCX/PDF的邮件全部放入垃圾文件夹,要想识破诈骗邮件,请记住以下几点:

  • 不要打开来自未知地址的可疑邮件。如果你无法确定为何会在邮箱收到此邮件,那么很可能你并不需要这封邮件。
  • 如果你的工作需要和陌生人邮件往来,请仔细检查发送者的地址和附件名称。如果发现任何奇怪的地方,请不要打开邮件。
  • 除非你十分确定自己必须这么做,否则不要允许宏在来自邮件的文档中运行。
  • 谨慎对待文件中的所有链接,如果不清楚某条链接为何出现在邮件中,请直接忽略它。如果你需要访问此链接,请在浏览器中手动输入链接中的网址。
  • 采用可靠的安全解决方案,它们可以提示有关危险文件并将其阻拦,同时也可以在你访问可疑站点时发送警告。
提示