日前，在Websense ThreatSeeker智能云的帮助下，Websense安全实验室研究人员们发现，网络攻击者正在越来越多地选择使用自定义生成的附件文件名和有密码保护功能的ZIP文件发起大规模的网络攻击。他们将以银行/金融为主题的可执行文件打包在ZIP文件中，并将文件名与目标收件人之间进行匹配，通过电子邮件进行大范围的传播。当该文件在受害者电脑上运行时，来自Zbot P2P家族的木马病毒就会通过Pony下载器下载到受害者电脑上。Zbot通常是用来窃取银行证书、个人可识别信息（PII）以及其他机密数据，以获得犯罪收益。
　　安全专家们一直在积极检测并阻止类似攻击事件，他们于7月15日成功检测到一起以“重要文件——WellsFargo”为主题的攻击活动。在此次攻击活动中，Websense云端电子邮件安全检测并成功拦截了80000多个实例。随后，Websense CES（云端电子邮件安全）还成功拦截了另一起攻击活动，攻击者们利用伪装为由Trusteer发出的虚假电子邮件，诱骗受害者安装Trusteer Rapport软件更新。迄今为止，Websense CES已经成功拦截了36000多个攻击变体。以下则是Websense CES拦截到的一封电子邮件：
　　安全专家表示，与之前检测到的攻击活动相比，此次攻击活动的独特之处就是攻击者使用的是自定义生成的附件名称。网络犯罪分子们也在试图不断改进攻击方法，以增强其攻击的有效性。
　　自动创建文件名，并将该文件名与目标收件人的电子邮件用户名进行匹配，潜在的受害者首先会看到与他们的用户名相同的ZIP文件，在搜索引擎中搜索附件文件名也不会显示任何可疑信息，攻击者就是利用这种方法让潜在的受害者更放心地打开附件。同时攻击者们也希望可以通过这种方法规避基于附件文件名的拦截。
　　如果用户在文件夹选项中选择了“隐藏已知文件类型扩展名”，那么典型的误导性图标（电子邮件攻击中常见恶意软件的另一共同特征）会将恶意可执行附件显示为正常文件（见图1）。懂行的用户会选择显示所有文件的扩展名，可疑附件就会暴露无遗（见图2）。
　　图1
　　图2
　　安全专家利用ThreatScope?对附件行为进行分析后发现，Pony下载器会与hxxp：// dharmaking.net/ponyb/gate.php进行信息传送。同时，Pony下载器还会会发送一系列GET请求，从hxxp：// liltommy.com/ep9C.exe、hxxp：// www.wineoutleteventspace.com/7UNFVh.exe、hxxp：// www.oh-onlinehelp.com/Pefyi.exe、hxxp：// video.wmd-brokerchannel.de/qAz575t.exe等多个恶意网站上下载恶意可执行文件，并且可以与合法网站进行信息传送来掩盖恶意活动。
　　此外，在更早检测到的攻击活动中，安全专家们注意到，除了将附件文件名与收件人用户名配对，攻击者们还在攻击邮件中添加了密码保护功能，这种方法在近几个月的攻击中使用相当频繁。显然，攻击者的目的是规避自动分析，并在安全厂商更新恶意软件检测方法之前进行大规模的传播。如下图所示：
　　同样，隐藏了文件扩展名的附件在电子邮件中也显示为正常文件，攻击者试图以这种方式来减少潜在的受害者对打包在附件中的可执行文件的怀疑。如下图所示：
　　最近，安全专家又检测到一起利用虚假Trusteer电子邮件发起的攻击活动，电子邮件主题为“重要安全更新：客户XXX”。此次攻击与上述攻击活动一样，附件名称与收件人用户名一致。Trusteer是一家软件公司，攻击者将攻击邮件伪装成软件更新邮件，试图减少潜在的受害者对附件中的可执行文件的戒心。
　　Websense ThreatScope报告指出，简单的社交工程技术、已知漏洞及已知的恶意软件家族仍广泛应用在大大小小的攻击中。虽然这些电子邮件诱饵非常简单，但是攻击者仍会利用诱饵的各种变体进行攻击，传统的杀毒软件不能有效拦截此类攻击。即使杀毒软件厂商对软件进行更新之后，也只有少数杀毒软件可以识别Zbot木马变种。而且在更新了杀毒软件之后，一些木马托管主机看似不再进行响应，但实际上仍会提供新的恶意二进制文件。
　　安全专家提醒用户，面对这类强针对性的攻击，一定要对来历不明的电子邮件保持警觉，不要轻易阅读带有链接与附件的可疑邮件。除了提高用户安全意识之外，企业也可以通过部署多层次的安全产品来防范此类攻击，保护企业安全。