我们翻译一下先：

传到DeepPhish EML分析平台跑一下，几处都是黄灯，还使用了第三方代发，简直就是各种猪鼻子插大葱——装蒜。SPF softfail软拒绝，意味着这封邮件不会直接拒收，大概率进垃圾箱。很多企业不敢启用硬拒绝，担心误拦，软拒绝又担心用户从垃圾箱捡回来，这事很难！

记住这个发件人 @abecorp.kz和代发地址@foodpacking.ec，后面有包袱。

AI分析如下：

邮件还包含一个可疑附件“Bank Central Asia _Salinan Pembayaran.pdf.tar”，文件包含“.pdf”以诱导用户以为是pdf文件。诱导用户进行双击打开。

该文件实际为一个压缩文件，双击会使用计算机已安装的压缩工具打开。如果用户再进一步点击里面的“Bank Central Asia Salinan Pembayaran.pdf.bat”可执行批处理文件，则会启动执行木马病毒程序。

如果你对邮件存有疑惑，回复发件人，则会回复给@artificialgrassdubai.com，（迪拜人造草），这是什么骚操作，也就是说如果你不直接中招，黑客则可能转而使用BEC诈骗手段，由一个专门的诈骗专家接管攻击流程。

这个地址的资产情况和代发地址的资产情况几乎一模一样，互相关联，位于美国，运营商Unified Layer，NS，MX全部一样配置，Unified Layer 是一家共享数据中心基础设施提供商，为一系列公司拥有的网络托管服务提供商提供资源和服务，包括 Bluehost、HostGator、iPage 等。Unified Layer 使这些公司能够为其客户提供可靠、可扩展且安全的托管环境，共享托管、云托管、VPS 托管、专用托管、网站构建和域名注册服务的平台，甚至包括邮件营销和在线营销，对手利用合法第三方服务商实现了自身的规模化、自动化作业。

2、沙箱行为

通过公开沙箱判断，该bat包含了Remcos远控家族，bat执行powershell加载内存。Remcos是一款商业化的远程控制恶意软件，实际上是一家名为 Breaking Security 的德国公司以 Remote Control and Surveillance 的名义出售的合法工具，经常被黑客滥用。bat本身也有反沙箱机制。

杀软检出率极低：

病毒执行后会直接连接远控地址“185.241.208.118:9683”进行TLS加密通讯，主要进行远程控制命令下发等操作。注意，这个地址同样是黑客的发件服务器地址，简直猖狂！

同一个样本攻击者会编排多国语言，投递给英文、中文、泰语国家相关企业，不排除仿冒为其他银行。

其他不再赘述，附上VT地址：https://www.virustotal.com/gui/file/ed3ea3727b6cbd1a9d61ada18691a1f818684cfe6176d7ec169382d3ba291669

3、相关IOC

BankCentralAsia_SalinanPembayaran.pdf.bat    

文件Hash：074f720c65e427d322358a229de314c8

C2和发件：185.241.208.118

邮箱域：@artificialgrassdubai.com, @foodpacking.ec

4、总结

攻击者以发件人仿冒入局，以文化差异作为杠杆点，商业木马远控上路，BEC诈骗作为B计划，堪称以小博大，严丝合缝，但依然逃不脱DeepPhish的法眼。😁（请允许我吹一波牛逼）

各出海企业员工注意防范，钓鱼模版已更新到DP反钓鱼训练平台。

支持我们，在钓鱼中招前打一针疫苗！

- EML分析工具：deepphish.cn/eml

- 反钓鱼训练平台：deepphish.cn/apt

- 官微：Wh0ami1999

群二维码已被DDOS，想一起搞反钓鱼的小伙伴加官微拉群，谢谢！

另外，特别感谢甲方爸爸和乙方大佬的关注和注册，也欢迎反馈功能需求和系统漏洞，但请不要发起真实网络攻击，做产品不易😭😭😭。