日本用户遭遇新型IQY与PowerShell协同垃圾邮件攻击：BEBLOH与URSNIF病毒威胁深度解析

近年来针对日本用户的定向网络攻击活动持续升级。2023年， 趋势科技平安研究人员发现一种新型垃圾邮件攻击模式，攻击者通过滥用Excel的IQY文件与PowerShell脚本，精准向日本用户分发BEBLOH银行木马与URSNIF数据窃取恶意软件。该攻击活动凭借高度隐蔽的感染链和地域定向能力，对日本用户的金融平安与数据隐私构成严重威胁。本文将从攻击技术细节、病毒行为特征、防护策略等维度，全面剖析这一威胁背后的技术逻辑与应对之道。

攻击活动全景：50万封垃圾邮件的定向围猎

根据趋势科技平安情报中心监测， 本次垃圾邮件攻击活动于2023年8月6日首次被检出，在短短3天内累计向日本用户发送约50万封恶意邮件。攻击者采用高度本地化的社工话术， 邮件主题与正文均围绕日本用户的日常沟通场景设计，比方说“附照片”“请确认”“付款通知”等，利用收件人对熟悉场景的信任度诱导点击附件。

第一波攻击邮件的正文显示：“总是感谢您的帮助。我将以XLS版本发送它。请查看附件，谢谢。提前感谢你。”攻击者以“发送XLS文件”为由，诱骗用户打开成表格文件的IQY附件。8月8日出现的第二波攻击则进一步升级欺骗手段，邮件主题简化为“照片”，正文仅用“谢谢你的帮助。我会发一张照片。”降低用户警惕性，一边将PowerShell脚本进行混淆处理，以规避平安软件检测。

核心技术滥用：IQY文件与PowerShell的协同攻击链

本次攻击的核心技术在于对IQY文件与PowerShell脚本的滥用，构建了一条从邮件附件到到头来病毒植入的完整感染链。IQY是Excel用于从外部数据源动态获取数据的文件格式， 其本质为包含URL地址的文本文件，正常用途可连接数据库或网页数据。攻击者利用IQY文件可被Excel直接施行的特性，绕过传统基于文件 名的检测机制。

IQY文件：规避检测的“隐身衣”

当用户点击恶意IQY附件后 Excel会自动调用内置的Web查询功能，访问攻击者预设的URL并返回数据。攻击者在IQY文件中嵌入的并非常规数据，而是可触发后续恶意行为的脚本代码。由于IQY文件本身是Excel的合法功能， 多数终端平安软件默认不会拦截其施行，这为攻击者提供了天然的“隐身衣”。

趋势科技平安研究员指出：“IQY文件的简单结构使其成为规避基于特征码检测的理想工具。攻击者无需修改文件 名， 只需通过篡改文件内容，即可将正常的Excel数据请求转化为恶意代码施行通道。”这种技术滥用方式在2018年的Necurs僵尸网络攻击中已有先例， 但在本次针对日本的攻击中，攻击者进一步结合地域定向能力，实现了更高精度的病毒投放。

PowerShell脚本：地域定向的“智能开关”

IQY文件触发后 会与病毒下载逻辑。PowerShell作为Windows系统内置的脚本引擎， 具有强大的系统调用能力，且默认施行策略允许本地脚本运行，这使得攻击者能够利用其完成复杂操作而不引起用户怀疑。

本次攻击中的PowerShell脚本实现了关键的地域定向功能：到IP归属地为日本， 脚本会从指定服务器下载BEBLOH或URSNIF病毒；若IP为其他地区，则终止施行，避免无意义的流量暴露。这种“智能开关”机制大幅提升了攻击效率，确保恶意资源仅投放给目标用户，降低被平安机构溯源的风险。

第二波攻击中，攻击者进一步对PowerShell脚本进行混淆处理。的函数调用，并插入大量垃圾代码，使得静态分析工具难以提取恶意特征。这种混淆技术已成为现代恶意软件的标配，本次攻击中其应用显示出攻击者对平安检测手段的熟悉程度。

BEBLOH与URSNIF：双病毒协同的“致命组合”

本次攻击的到头来有效载荷为BEBLOH银行木马与URSNIF数据窃取恶意软件。两者均为2016年起在日本地区活跃的成熟威胁家族， 本次攻击中首次实现协同投放，形成“资金盗窃+数据窃取”的双重威胁。BEBLOH专注于银行账户资金窃取， 而URSNIF则以广泛的情报收集能力见长，两者结合可对受害者造成全方位的经济与隐私损失。

BEBLOH：静默无感的银行账户“清道夫”

BEBLOH是一种专门针对日本银行的木马程序，其核心功能是窃取用户网银登录凭证与交易验证码。感染后BEBLOH会通过修改系统hosts文件，将日本主要银行官网重定向至攻击者控制的仿冒页面。当用户输入账号密码时信息会被实时记录并发送至攻击者服务器。

更凶险的是BEBLOH具备“交易劫持”能力。在检测到用户正在进行大额转账时 木马会自动弹出伪造的“平安验证”窗口，诱骗用户输入短信验证码或动态口令。获取这些信息后攻击者可迅速完成资金转移，而受害者往往直到账户余额异常才发现问题。趋势科技数据显示， BEBLOH在日本地区的单次攻击平均可窃取50万至200万日元，且由于攻击过程高度隐蔽，平均潜伏期长达45天。

为维持持久化控制， BEBLOH会在系统注册表添加自启动项，比方说创建“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Update”键值，指向病毒主体文件。一边，它会注入explorer.exe进程，实现对系统进程的隐藏，避免被任务管理器轻易发现。这种深层次的系统驻留技术，使得普通用户即使发现异常，也难以彻底清除病毒。

URSNIF：无孔不入的“数据黑洞”

与BEBLOH相比， URSNIF是一种功能更全面的数据窃取恶意软件，其攻击范围不仅限于金融领域，而是涵盖了用户隐私的全部维度。2016年起， URSNIF在日本地区的攻击活动持续升级，本次攻击中其已成为唯一有效载荷，显示出攻击者对数据窃取的侧重。

URSNIF的感染机制同样具有高度隐蔽性。它到浏览器进程启动， 便会注入恶意代码，记录用户访问的所有网站URL、输入框内容、Cookie信息以及登录凭证。对于日本用户常用的电商平台和社交平台， URSNIF会额外收集用户的浏览历史与社交关系数据，为后续的精准诈骗或身份盗用提供素材。

在信息收集层面URSNIF堪称“无孔不入”。它会遍历受感染系统的所有存储设备， 收集以下敏感信息：

• 系统信息操作系统版本、安装的软件列表、硬件配置、网络配置。
• 用户身份数据计算机名称、 用户名、卷序列号、数字证书。
• 输入记录键盘日志、剪贴板日志。
• 文件内容文档、图片、压缩包中的敏感信息。

收集到的数据会被加密存储在系统临时目录的隐藏文件中，并， URSNIF还实现了环境感知功能：虚拟机特征、运行时间或CPU核心数，决定是否启动恶意行为。这种反分析能力大幅提升了平安软件的检测难度。

攻击溯源：从邮件到病毒的完整链条

本次攻击活动的完整链条可概括为：攻击者日本IP→下载BEBLOH/URSNIF病毒→病毒实现持久化与数据窃取。其中， Cutwail僵尸网络的参与表明攻击者具备大规模邮件发送能力，而IP地域定向技术的应用则显示出对目标用户的精准定位。

需要留意的是BEBLOH与URSNIF的协同投放并非偶然。两者同属“Gozi家族”恶意软件分支，共享部分代码基础，这为攻击者一边控制两种病毒提供了便利。攻击者可能通过分工实现不同目的：BEBLOH负责直接经济收益，URSNIF负责长期数据变现。比方说 URSNIF窃取的用户社交关系数据可用于实施“好友诈骗”，而银行账户信息则可直接用于资金转移，形成“数据+资金”的双重犯法闭环。

防护策略：构建抵御定向攻击的三道防线

面对日益复杂的定向攻击， 日本用户需从终端防护、行为习惯、威胁情报三个维度构建防御体系。结合本次攻击的技术特点，

终端防护：加固第一道防线

1. 禁用IQY文件的自动施行企业用户可通过组策略编辑器配置“Excel 2016/2019选项 → 信任中心 → 宏设置”，禁用“启用与Excel早期版本的兼容性”选项，阻止Excel自动施行IQY文件中的DDE命令。个人用户可在Excel的“文件 → 选项 → 信任中心 → 宏设置”中取消勾选“信任对VBA工程对象模型的访问”，降低自动施行风险。

2. 限制PowerShell脚本施行Windows系统默认允许本地脚本运行，攻击者可利用这一点施行恶意代码。建议将PowerShell施行策略设置为“Restricted”，通过命令行“Set-ExecutionPolicy Restricted”实现。对于开发等需要运行脚本的场景，可临时调整为“RemoteSigned”，但需确保脚本来源可信。

3. 部署多层次平安软件选择具备“防勒索”“反钓鱼”“行为检测”功能的平安软件，并定期更新病毒库。比方说 趋势科技Apex One可PowerShell脚本的混淆行为，实现对攻击链的全流程阻断。

行为习惯：切断社工攻击的传播路径

1. 警惕“附件+日常场景”组合本次攻击中，攻击者利用“照片”“付款”“文件”等高频场景诱导用户点击附件。用户需养成“先核实再点击”的习惯：对陌生发件人的附件， 即使主题看似熟悉，也应通过

2. 开启邮件客户端的平安功能Outlook等邮件客户端支持“附件沙箱”功能， 可在虚拟环境中预览附件内容，避免直接打开。企业用户可配置 Exchange Online 的“平安附件”功能， 通过云服务对附件进行动态扫描，发现恶意文件时自动替换为警告页面。

3. 定期清理浏览器数据URSNIF通过浏览器注入窃取数据， 用户需定期清理Cookie、浏览历史与保存的密码。一边，启用浏览器的“隐私模式”或“无痕模式”，减少敏感数据的残留。对于网银等敏感操作，建议使用专用浏览器并关闭不必要的插件。

威胁情报：把握攻击趋势的主动权

1. 关注平安机构的预警信息趋势科技、卡巴斯基等平安机构会定期发布定向攻击威胁情报。企业用户可通过订阅威胁情报服务， 获取最新的恶意IP地址、域名与文件哈希值，及时更新防火墙规则与终端防护策略。比方说本次攻击中攻击者使用的C2服务器IP地址已被加入威胁情报库，可阻断其与受感染主机的通信。

2. 开展员工平安意识培训企业需定期组织钓鱼邮件演练， 模拟本次攻击中的“附照片”“付款通知”等场景，提升员工对社工攻击的识别能力。培训内容应包括：如何检查邮件发件人真实性、如何识别附件异常、发现可疑邮件后的上报流程等。

3. 建立应急响应机制制定详细的病毒感染应急预案， 明确检测、隔离、清除、溯源四个阶段的操作流程。比方说 发现终端感染BEBLOH后应马上断开网络连接，使用专用杀毒工具进行全盘扫描，备份重要数据后重装系统。一边，保留日志与样本，提交给平安机构进行溯源分析，追踪攻击者的活动轨迹。

未来趋势：定向攻击的演进与应对

本次IQY与PowerShell协同攻击揭示了定向网络攻击的几个未来趋势：一是攻击技术的“合法化滥用”， 即利用系统内置功能规避检测；二是地域定向的精细化，从“国家层面”下沉至“城市甚至企业层面”；三是恶意软件的“模块化协同”，不同功能家族通过统一C2服务器协同作战。这些趋势将对网络平安防护提出更高要求。

面对挑战，平安技术的演进也势在必行。AI驱动的威胁检测将成为关键：，即使攻击者突破邮件防护，也无法横向移动到核心系统。

对于普通用户而言，提升平安意识仍是抵御攻击的根本。正如趋势科技平安专家所言：“再先进的技术也无法完全替代人的判断。保持‘多一份警惕、少一次点击’的习惯，是保护自身平安的第一道防线。”唯有技术与意识并重，才能在日益复杂的网络威胁环境中守护好个人与企业的数字资产。

---