近來新型態的跳板垃圾信接到一封看似發票的信件主旨:Invoice XXXXXXXX ,請當心不要任意開啟其所附的 Word 檔,這是新型的勒索軟體 (勒索病毒/綁架病毒/後門程式),它利用使用者對 Microsoft Word 檔比較沒有戒心的心態,企圖透過惡意巨集加以運行。
打開標頭後發現,完全符合DNS 正反解析宣告,spf / dkim / dmarc 所有宣告,通常是一些郵件主機已經成為了垃圾信件跳板而不自知
發信數量也非常少,也還未在國際黑名單清單上

這是垃圾信件的標頭範本,信件通過所有驗證
這些信件均由合法主機過來的信件
不論網域或是解析宣告均是正確的

在工作上,許多使用者常會收到帶有Word、Excel、PDF的附件,所以不覺得可疑,就不假思索地打開這個檔案,但這時也有中招可能性。
由於攻擊者可能會偽裝成生意上的通知信件,像是以訂單(Order)、發票(Invoice)等關鍵字,欺騙使用者相信這是重要的郵件,且郵件偽裝程度相當逼真,加上又是文件類型檔案,利用這種方式來降低使用者警覺心,讓使用者開啟郵件中的檔案,而觸發惡意程式的執行。
可別以為附檔為.doc的Word檔案,或是.xls的Excel檔案,就沒有問題。只要Office軟體出現安全性警告的巨集功能開啟提示,當下應停止動作
這重灌電腦是否有用~
可能只能清理電腦上的後門程式(當然掃毒或是重新安裝是有必要的)
但通訊錄或是寄件實體資料可能已經被有心駭客所獲取的部分,可能就不是掃毒或重新安裝可以解決的了

我們開始看到包含木馬的惡意垃圾郵件,這些木馬利用了.doc Word附件中的巨集指令可以將它們組合為單個命令以自動完成任務。垃圾郵件發送者經常使用指令在處理文檔時執行惡意任務。
這包含擷取電腦的寄件備份信件資料竄改,收集電腦端通訊錄清單等
甚至:讓自己電腦也成為了殭屍電腦,利用電腦認證,發信數量極少的信件。讓自己電腦或是郵件主機均未觸動警示

這些前提,均是使用者已經開啟或點擊了信件附件檔案,引發後續一連串效應
電子郵件以非常簡單的純文本電子郵件開頭,假裝是來自帶有發票的供應商的電子郵件,
為了逃避過濾器或至少使屏蔽起來更加困難,垃圾郵件製造者一直在使用.doc文件,這些文件通常是通過電子郵件發送的文件類型。附件通常具有基本名稱,例如invoice.doc,batch.doc等。
當您收到此類電子郵件時,請確保查看被引用的公司以及發件人的地址。這些電子郵件中有一些正在使用欺騙技術來欺騙您的域,使其看起來好像來自您自己域中的電子郵件地址。

注意事項:
•收信
–檢查寄件者的真偽
–確認信件內容的真實度
–不輕易開啟郵件中的超連結以及附件
–開啟超連結或檔案前,確認對應軟體(如IE、Office、 壓縮軟體)都保持在最新的修補狀態
•轉信或寄信
–未經查證之訊息,不要轉寄
–轉寄郵件前先將他人郵件地址刪除,避免別人郵件地 址傳出
–寄送信件給群體收件者時,應將收件者列在密件副件, 以免收件人資訊外洩。

那中招了該怎麼辦?

這些信件,我們發現數量其實並未如想像中的多
查驗標頭也完全合法
我們正研究如何從哪些資訊中可以進行防護外
建議在此之前的防護設定方式:

將發信端的IP/網域加入黑名單進行過濾

直接將垃圾信件來源加入黑名單

設定郵件規則進行防護

設定過濾條件:可以組合條件,設定過濾檔案格式與大小。

過濾條件是否會誤判?
誤判後信件設定刪除,是否可以重新發送給收件者?
還有其他方式可以處理?
這是否是病毒信件?