上海青羽电脑科技有限公司

技术园地

TECHNOLOGY

技术园地

技术分享:邮箱收到HTML格式附件一定要警惕

发布时间:2022-09-30  /  浏览次数:6,452次

近期有用户收到异常的html附件,向我们反馈。我们分析了邮件样本,发现html附件中有包含病毒,提醒用户当心此类的邮件。下面包含是以往回复内容的邮件,如图所示:

HTML是超文本语言,是以静态页面展示的,不向后台服务器发送交互式请求,一般不会存在威胁,很多杀毒软件都是不过滤不扫描的,而往往像.bat、.vbs、.php格式脚本文件更容易被杀软嗅探到威胁而拦截。

我们对此邮件进行深度分析,确实存在威胁,有中病毒木马被钓鱼的风险,请大家收到之后一定要警惕,黑客发送此邮件其实是仿照了一些大的金融机构或工业设计软件公司(例如HSBC的安全加密邮件、Adobe软件的插件)等通知类邮件。
威胁邮件包含三个步骤使用户中招:开始用户收到之后点击HTML,会自动下载一个zip加压后是光驱文件;第二步如果是笔记本或者带有光驱的电脑加载这个文件,或者已经设置过系统光驱默认自动打开此格式文件,会自动释放其病毒木马;第三步如果本地杀软没有拦截,此木马会找到谷歌或者火狐浏览器的安装路径,然后安装浏览器监控程序,后果不堪设想,监控通过浏览器输入的账号密码等。

以下是分析过程截图:

HTML里面使用了大量的加密JS,我们解密了一段

这个会定时生成以日期为后缀压缩文件,并判断浏览器类型,客户端类型。

可以看到下载压缩的ZIP文件,解压有提示输入密码,黑客在此时使用加密压缩文件目的是不让杀软嗅探。

解压之后的光驱IOS文件会释放病毒感染用户浏览器。

出现这类邮件一般是客户双方的任意一方系统之前可能存在漏洞,未打上补丁,Exchange居多,历史邮件部分被黑客盗取,邮件的来往信息中特别是地址也被黑客抓取,这类邮件被盗后,不仅仅发内部钓鱼诈骗,而且也可以根据之前往来邮件中的地址继续对另外一方诈骗,黑客采用这类发送一般是自己开发的系统,可以自定义AI发送,发送的HTML附件命名格式也有规律,以任意字符开头(月日).html命名规则如3451(Sep19).html。我们根据病毒特征及时作出安全策略,能阻挡此类有害邮件。但还是提醒大家收到类似html附件的邮件,请保持警惕删除或向IT管理员及时报告,切勿盲目打开。

以上仅供参考,如需要更多技术支持和帮助,欢迎和我司客户服务部沟通,电话:021-51028603,也可发邮件到service@corp-email.com。

一站式解决邮件收发与安全难题
靠谱工程师为您提供一对一的专业技术支持与服务
申请试用
400-602-8603