冠状病毒爆发，意大利封闭全国!黑客利用电子邮件病毒攻击当地用户

作者：企业邮箱    发布时间：2020-03-11 14:20:08  访问量：2516  

　　最新消息，据《纽约时报》报道,意大利颁布的封闭式管理条令于当地时间3月8日下午正式生效。同时，一项新的勒索软件TrickBot正在利用意大利对冠状病毒(COVID-19)的关注度来针对意大利用户发起攻击。

　　这次攻击是Sophos相关专家发现了新的钓鱼邮件攻击行动。黑客试图利用用户对感染冠状病毒的恐惧，将邮件伪装成是来自世界卫生组织(WHO)Penelope Marchetti博士的邮件，主题为“冠状病毒的重要信息”。据Sophos发布的报告称，针对意大利的钓鱼攻击邮件正在加剧意大利人对本国冠状病毒爆发的担忧和恐惧!

　　在电子邮件中携带的文件中，据称是为预防感染而采取的一系列预防措施，但实际上，邮件内的附件文件是武器化的 Word文档，带有Visual Basic for Applications(VBA)病毒脚本，该脚本带有用于交付新Trickbot病毒变体。邮件内容如下图所示：

　　在邮件中包含一个Weaponized Word文档，该文档一旦打开，就会要求受害者单击“启用内容”按钮以正确查看邮件内容。

　　但当用户单击该按钮后，将执行嵌入的宏，并将其作为臭名昭著的Trickbot恶意软件的滴管。在启用宏后触发的操作序列下方：

　　它将文档编码中的文件分类到不同的磁盘：一个VBA宏文件(vbaProject.bin)和几个与Word相关的XML文件，而宏反过来包含一个模糊的JavaScript(jse)文件。

　　它连接远程服务器上的PHP脚本(在某些示例中为hxxps：// 185 [.] 234.73.125 / wMB03o / Wx9u79.php)，将IP地址和有关目标的一些基本详细信息作为变量传递到HTTP中的GET请求上。

　　它调用宏文件，当宏脚本被合法VBA脚本中的代码所混淆时，其实际功能是创建JavaScript删除程序和.bat批处理文件，该文件使用Windows脚本宿主(WSH)命令行工具cscript.exe执行删除程序的操作。

　　根据研究数据分析，TrickBot不仅允许攻击者从受感染的系统中收集信息，它还试图进行横向移动以感染同一网络上的其他计算机，试图通过部署Ryuk 病毒软件来获利。

　　Sophos总结称,对于此类病毒的防护其实与大多数病毒(数字或生物病毒)一样，在Office应用程序中为除最受信任文档之外的所有宏禁用宏，并提高用户的安全意识不要处理或打开通过电子邮件接收的文档。

　　而此前，在我国众志成城、同心“抗疫”之时，也曾有过类似遭遇。

　　南亚APT组织伪装为我国国家卫生健康委员会以疫情背景为话题对我国重点医疗工作领域展开攻击。攻击使用的伪装域名为nhc-gov[.]com，通过该域名可以下载到投递的恶意文档，如：武汉旅行信息收集申请表.xlsm(http://nhc-gov[.]com/form.html?OZBTg_TFORM)、卫生部指令.docx(http://nhc-gov[.]com/h_879834932/卫生部指令.docx)。

　　所以，用户在选择电子邮件时要选择防病毒性能好的合作商，比如腾讯企业邮箱，也不要随意点开陌生链接，以防中病毒。

　　希望全球各个国家都能早日战胜疫情！武汉加油！

声明：本文由企业邮箱收集整理的《冠状病毒爆发，意大利封闭全国!黑客利用电子邮件病毒攻击当地用户》，如转载请保留链接:http://www.qq366.cn/news_in/382