冠狀病毒爆發(fā)�,意大利封閉全國!黑客利用電子郵件病毒攻擊當地用戶
作者:企業(yè)郵箱 發(fā)布時間:2020-03-11 14:20:08 訪問量:2945
導讀:最新消息��,據《紐約時報》報道,意大利頒布的封閉式管理條令于當地時間3月8日下午正式生效��。同時��,一項新的勒索軟件TrickBot正在利用意大利對冠狀病毒(COVID-19)的關注度來針對意大利用戶發(fā)起攻擊��。
最新消息�,據《紐約時報》報道,意大利頒布的封閉式管理條令于當地時間3月8日下午正式生效���。同時,一項新的勒索軟件TrickBot正在利用意大利對冠狀病毒(COVID-19)的關注度來針對意大利用戶發(fā)起攻擊���。
這次攻擊是Sophos相關專家發(fā)現了新的釣魚郵件攻擊行動��。黑客試圖利用用戶對感染冠狀病毒的恐懼�����,將郵件偽裝成是來自世界衛(wèi)生組織(WHO)Penelope
Marchetti博士的郵件���,主題為“冠狀病毒的重要信息”。據Sophos發(fā)布的報告稱�����,針對意大利的釣魚攻擊郵件正在加劇意大利人對本國冠狀病毒爆發(fā)的擔憂和恐懼!
在電子郵件中攜帶的文件中����,據稱是為預防感染而采取的一系列預防措施�,但實際上,郵件內的附件文件是武器化的 Word文檔�����,帶有Visual Basic
for Applications(VBA)病毒腳本,該腳本帶有用于交付新Trickbot病毒變體��。郵件內容如下圖所示:
在郵件中包含一個Weaponized Word文檔���,該文檔一旦打開�,就會要求受害者單擊“啟用內容”按鈕以正確查看郵件內容�����。
但當用戶單擊該按鈕后�,將執(zhí)行嵌入的宏,并將其作為臭名昭著的Trickbot惡意軟件的滴管���。在啟用宏后觸發(fā)的操作序列下方:
它將文檔編碼中的文件分類到不同的磁盤:一個VBA宏文件(vbaProject.bin)和幾個與Word相關的XML文件��,而宏反過來包含一個模糊的JavaScript(jse)文件����。
它連接遠程服務器上的PHP腳本(在某些示例中為hxxps:// 185 [.] 234.73.125 / wMB03o /
Wx9u79.php)����,將IP地址和有關目標的一些基本詳細信息作為變量傳遞到HTTP中的GET請求上���。
它調用宏文件,當宏腳本被合法VBA腳本中的代碼所混淆時���,其實際功能是創(chuàng)建JavaScript刪除程序和.bat批處理文件���,該文件使用Windows腳本宿主(WSH)命令行工具cscript.exe執(zhí)行刪除程序的操作。
根據研究數據分析��,TrickBot不僅允許攻擊者從受感染的系統中收集信息����,它還試圖進行橫向移動以感染同一網絡上的其他計算機,試圖通過部署Ryuk
病毒軟件來獲利�����。
Sophos總結稱,對于此類病毒的防護其實與大多數病毒(數字或生物病毒)一樣�����,在Office應用程序中為除最受信任文檔之外的所有宏禁用宏�,并提高用戶的安全意識不要處理或打開通過電子郵件接收的文檔��。
而此前,在我國眾志成城�����、同心“抗疫”之時����,也曾有過類似遭遇。
南亞APT組織偽裝為我國國家衛(wèi)生健康委員會以疫情背景為話題對我國重點醫(yī)療工作領域展開攻擊���。攻擊使用的偽裝域名為nhc-gov[.]com����,通過該域名可以下載到投遞的惡意文檔����,如:武漢旅行信息收集申請表.xlsm(http://nhc-gov[.]com/form.html?OZBTg_TFORM)、衛(wèi)生部指令.docx(http://nhc-gov[.]com/h_879834932/衛(wèi)生部指令.docx)����。
所以,用戶在選擇電子郵件時要選擇防病毒性能好的合作商����,比如騰訊企業(yè)郵箱�����,也不要隨意點開陌生鏈接�,以防中病毒���。
希望全球各個國家都能早日戰(zhàn)勝疫情�����!武漢加油�����!
掃碼加交流群����,相互學習�,一起解決工作中遇到的問題
聲明:本文由企業(yè)郵箱收集整理的《冠狀病毒爆發(fā)�����,意大利封閉全國!黑客利用電子郵件病毒攻擊當地用戶》,如轉載請保留鏈接:http://www.cchp-china.com/news_in/382
