意大利冠状病毒爆发封闭全国! 黑客利用病毒恐慌袭击当地用户
更多全球网络安全资讯尽在E安全官网 www.easyaq.com
E安全3月11日讯,据《纽约时报》报道,意大利颁布的封闭式管理条令于当地时间3月8日下午正式生效。此时,一项新的勒索软件TrickBot正在利用意大利对冠状病毒(COVID-19)的关注度来针对意大利用户发起攻击。
据悉,是Sophos相关专家发现了新的钓鱼邮件攻击行动,黑客正试图利用用户对感染冠状病毒的恐惧,将邮件伪装成是来自世界卫生组织(WHO)Penelope Marchetti博士的邮件,主题为“冠状病毒的重要信息”。据Sophos发布的报告称,针对意大利的钓鱼攻击邮件正在加剧意大利人对本国冠状病毒爆发的担忧和恐惧!
电子邮件中携带的文件据称是为预防感染而采取的一系列预防措施,但实际上,邮件内的附件文件是武器化的 Word文档,带有Visual Basic for Applications(VBA)病毒脚本,该脚本带有用于交付新Trickbot病毒变体。邮件内容如下图所示:
邮件中包含一个Weaponized Word文档,该文档一旦打开,就会要求受害者单击“启用内容”按钮以正确查看邮件内容。但当用户单击该按钮后,将执行嵌入的宏,并将其作为臭名昭著的Trickbot恶意软件的滴管。在启用宏后触发的操作序列下方:
它将文档编码中的文件分类到不同的磁盘:一个VBA宏文件(vbaProject.bin)和几个与Word相关的XML文件,而宏反过来包含一个模糊的JavaScript(jse)文件。
它连接远程服务器上的PHP脚本(在某些示例中为hxxps:// 185 [.] 234.73.125 / wMB03o / Wx9u79.php),将IP地址和有关目标的一些基本详细信息作为变量传递到HTTP中的GET请求上。
它调用宏文件,当宏脚本被合法VBA脚本中的代码所混淆时,其实际功能是创建JavaScript删除程序和.bat批处理文件,该文件使用Windows脚本宿主(WSH)命令行工具cscript.exe执行删除程序的操作。
根据研究数据分析,TrickBot不仅允许攻击者从受感染的系统中收集信息,它还试图进行横向移动以感染同一网络上的其他计算机,试图通过部署Ryuk 病毒软件来获利。Sophos总结称,对于此类病毒的防护其实与大多数病毒(数字或生物病毒)一样,在Office应用程序中为除最受信任文档之外的所有宏禁用宏,并提高用户的安全意识不要处理或打开通过电子邮件接收的文档。
注:本文由E安全编译报道,转载请注原文地址 https://www.easyaq.com
推荐阅读:
▼点击“阅读原文” 查看更多精彩内容
喜欢记得打赏小E哦!