冠狀病毒爆發(fā),意大利封閉全國(guó)!黑客利用電子郵件病毒攻擊當(dāng)?shù)赜脩?/h1>
作者:企業(yè)郵箱 發(fā)布時(shí)間:2020-03-11 14:20:08 訪問(wèn)量:2978
導(dǎo)讀:最新消息�,據(jù)《紐約時(shí)報(bào)》報(bào)道,意大利頒布的封閉式管理?xiàng)l令于當(dāng)?shù)貢r(shí)間3月8日下午正式生效����。同時(shí),一項(xiàng)新的勒索軟件TrickBot正在利用意大利對(duì)冠狀病毒(COVID-19)的關(guān)注度來(lái)針對(duì)意大利用戶發(fā)起攻擊��。
最新消息,據(jù)《紐約時(shí)報(bào)》報(bào)道,意大利頒布的封閉式管理?xiàng)l令于當(dāng)?shù)貢r(shí)間3月8日下午正式生效�����。同時(shí)���,一項(xiàng)新的勒索軟件TrickBot正在利用意大利對(duì)冠狀病毒(COVID-19)的關(guān)注度來(lái)針對(duì)意大利用戶發(fā)起攻擊���。
這次攻擊是Sophos相關(guān)專家發(fā)現(xiàn)了新的釣魚(yú)郵件攻擊行動(dòng)。黑客試圖利用用戶對(duì)感染冠狀病毒的恐懼��,將郵件偽裝成是來(lái)自世界衛(wèi)生組織(WHO)Penelope
Marchetti博士的郵件,主題為“冠狀病毒的重要信息”�����。據(jù)Sophos發(fā)布的報(bào)告稱�����,針對(duì)意大利的釣魚(yú)攻擊郵件正在加劇意大利人對(duì)本國(guó)冠狀病毒爆發(fā)的擔(dān)憂和恐懼!
在電子郵件中攜帶的文件中�,據(jù)稱是為預(yù)防感染而采取的一系列預(yù)防措施��,但實(shí)際上�,郵件內(nèi)的附件文件是武器化的 Word文檔��,帶有Visual Basic
for Applications(VBA)病毒腳本,該腳本帶有用于交付新Trickbot病毒變體。郵件內(nèi)容如下圖所示:
在郵件中包含一個(gè)Weaponized Word文檔����,該文檔一旦打開(kāi)�����,就會(huì)要求受害者單擊“啟用內(nèi)容”按鈕以正確查看郵件內(nèi)容。
但當(dāng)用戶單擊該按鈕后�,將執(zhí)行嵌入的宏,并將其作為臭名昭著的Trickbot惡意軟件的滴管��。在啟用宏后觸發(fā)的操作序列下方:
它將文檔編碼中的文件分類到不同的磁盤:一個(gè)VBA宏文件(vbaProject.bin)和幾個(gè)與Word相關(guān)的XML文件,而宏反過(guò)來(lái)包含一個(gè)模糊的JavaScript(jse)文件���。
它連接遠(yuǎn)程服務(wù)器上的PHP腳本(在某些示例中為hxxps:// 185 [.] 234.73.125 / wMB03o /
Wx9u79.php)��,將IP地址和有關(guān)目標(biāo)的一些基本詳細(xì)信息作為變量傳遞到HTTP中的GET請(qǐng)求上���。
它調(diào)用宏文件,當(dāng)宏腳本被合法VBA腳本中的代碼所混淆時(shí)�,其實(shí)際功能是創(chuàng)建JavaScript刪除程序和.bat批處理文件��,該文件使用Windows腳本宿主(WSH)命令行工具cscript.exe執(zhí)行刪除程序的操作。
根據(jù)研究數(shù)據(jù)分析�,TrickBot不僅允許攻擊者從受感染的系統(tǒng)中收集信息�,它還試圖進(jìn)行橫向移動(dòng)以感染同一網(wǎng)絡(luò)上的其他計(jì)算機(jī)��,試圖通過(guò)部署Ryuk
病毒軟件來(lái)獲利。
Sophos總結(jié)稱,對(duì)于此類病毒的防護(hù)其實(shí)與大多數(shù)病毒(數(shù)字或生物病毒)一樣���,在Office應(yīng)用程序中為除最受信任文檔之外的所有宏禁用宏,并提高用戶的安全意識(shí)不要處理或打開(kāi)通過(guò)電子郵件接收的文檔��。
而此前,在我國(guó)眾志成城����、同心“抗疫”之時(shí)����,也曾有過(guò)類似遭遇���。
南亞APT組織偽裝為我國(guó)國(guó)家衛(wèi)生健康委員會(huì)以疫情背景為話題對(duì)我國(guó)重點(diǎn)醫(yī)療工作領(lǐng)域展開(kāi)攻擊。攻擊使用的偽裝域名為nhc-gov[.]com�,通過(guò)該域名可以下載到投遞的惡意文檔���,如:武漢旅行信息收集申請(qǐng)表.xlsm(http://nhc-gov[.]com/form.html?OZBTg_TFORM)���、衛(wèi)生部指令.docx(http://nhc-gov[.]com/h_879834932/衛(wèi)生部指令.docx)��。
所以����,用戶在選擇電子郵件時(shí)要選擇防病毒性能好的合作商�,比如騰訊企業(yè)郵箱�����,也不要隨意點(diǎn)開(kāi)陌生鏈接����,以防中病毒�。
希望全球各個(gè)國(guó)家都能早日戰(zhàn)勝疫情�!武漢加油���!
點(diǎn)贊 0 來(lái)源:foxmail客戶端
掃碼加交流群��,相互學(xué)習(xí),一起解決工作中遇到的問(wèn)題
聲明:本文由企業(yè)郵箱收集整理的《冠狀病毒爆發(fā),意大利封閉全國(guó)!黑客利用電子郵件病毒攻擊當(dāng)?shù)赜脩簟?���,如轉(zhuǎn)載請(qǐng)保留鏈接:http://www.cchp-china.com/news_in/382
