目前,美国、日本等国家都发现此类冠状病毒主题的钓鱼邮件攻击。
这些恶意软件电子邮件假冒疾控中心或相关疫情防控机构,主题大多与冠状病毒通知、冠状病毒预防有关等。这些钓鱼电子邮件包含恶意附件,伪装成与病毒通知和预防相关的文件。
特别值得注意的是, 部分钓鱼邮件借用冠状病毒来传播一种臭名昭著的木马病毒——Emotet。以前,Emotet恶意软件传播的常用套路是伪装成公司样式的付款发票和通知电子邮件,但是由于冠状病毒感染的全球性恐慌, 称“全球首个敏捷开发病毒”的Emotet,第一时间就对“投放”策略和“物料”做出了调整,果然够“敏捷”。
安全公司Mimecast和IBM XForce都发现了Emotet的冠状病毒主题钓鱼邮件攻击,既有针对美国和欧洲用户的,也有针对日本用户的。
样本如下:
1.
假冒CDC疾控中心包含恶意链接钓鱼邮件样本
冠状病毒 络钓鱼电子邮件示例(KnowBe4)
2.
假冒防疫专家包含恶意链接的钓鱼邮件样本
3.
假冒健康机构针对日本用户的钓鱼邮件样本
下面是IBM X-Force发现的使用日语编写的钓鱼邮件,含有一个Word宏攻击文件,诱骗用户启用宏以后,可通过PowerShell将Emotet安装在用户设备中。邮件伪装成由日本的残疾福利服务提供商发送的感染预防信息,目标是那些受到冠状病毒爆发影响较大的用户(大阪、岐阜县等地)。 同时为了增加可信度附上了相关健康机构的真实邮寄地址,传真和电话 码:
总结:钓鱼风暴才刚刚开始
产品高速迭代的敏捷化组织——Emotet开发团队,对安全行业和企业安全部门的反应能力是一个空前的挑战。根据卡巴斯基的 告,Emotet恶意软件活动只是利用冠状病毒恐慌吸引毫无戒心用户的众多活动之一。卡巴斯基已经确定了10个不同恶意软件(木马和蠕虫,可破坏复制修改数据或者中断计算机 络,常见附件格式为.PDF、.MP4、.DOC文件),都试图通过冠状病毒主题邮件感染设备。
对于身处冠状病毒重灾区的中国用户,虽然目前尚未有冠状病毒中文恶意软件钓鱼邮件的正式 道,但是相关安全人员和最终用户应当提高警惕(已经出现日文版本),尽快部署防范措施和相关培训。
下面是日本CERT(计算机紧急响应小组)最新发布的实用程序EmoCheck(GitHub:https://github.com/JPCERTCC/EmoCheck),可以帮助Windows用户轻松检查是否感染了Emotet木马。
如果运行EmoCheck发现已被感染,则应立即打开任务管理器终止相关进程,然后用防病毒软件扫描计算机,以确保木马尚未将其他恶意软件下载并安装到计算机上。对于 络管理员来说,此工具也很有用,它可以用作登录脚本的一部分,快速查找已感染了Emotet的计算机,以防止全面的勒索软件攻击。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!