国家计算机病毒应急处理中心通过对互联网的监测,发现多款恶意软件正在利用新型冠状病毒相关主题实施鱼叉式钓鱼邮件攻击。恶意用户通过大量发送带有“coronavirus outbreak”(新型冠状病毒爆发) 等敏感主题和内容的钓鱼邮件来投递Emotet、Nanocore RAT、Parallax RAT等多款恶意软件。这些恶意软件感染目标后,能够收集用户凭据、浏览器历史纪录和敏感文档,还能为攻击者提供对受感染主机的远程访问、文件执行等权限。
第一用户向多个国家的组织和个人用户大量发送以Microsoft Word和Excel恶意文档作为附件的钓鱼邮件,通过与新型冠状病毒相关敏感主题及内容诱使受害者打开附件并执行恶意宏代码。恶意宏代码会调用Powershell代码下载执行Emotett、Nanocore RAT等多款恶意软件,从而完成对目标主机的控制。
其中,Emotet是一种网银盗窃木马,该恶意软件感染主机后,能够将恶意钓鱼邮件转发到其他目标,同时进一步安装其他恶意软件,进而实现账户资金窃取,用户凭据和敏感文件收集等恶意行为;Nanocore RAT是一种远程控制木马,它能够为攻击者提供对受感染主机的远程访问,获取键盘记录、敏感文件、控制网络摄像头、下载和执行文件等恶意功能; Parallax RAT也是一款远程控制木马,通过PIF文件进行传播,值得注意的是,该恶意软件加载后,会在用户的启动文件夹中创建链接和多个计划任务,并与动态DNS提供者域建立命令和控制通信,以实现持久驻留。
利用热点新闻来增加恶意软件的感染率已经成为恶意用户的常用手段,目前新型冠状病毒的相关消息是全世界关注的焦点,类似的安全事件很可能不断出现,希望广大互联网用户引起高度重视。建议用户及时安装操作系统和OFFICE软件的安全更新程序;对来源不明的邮件、文档提高警惕,避免打开不必要的宏程序;同时使用最新版本的网络安全产品防御已知的病毒木马等恶意代码,防范类似事件的发生。
|