5月13日消息微软的安全情报团队警告那些在航空业工作的人要警惕试图渗透其网络的恶意软件作者。微软警告说,针对航空和旅游部门的活动正在进行且动态不断,分发积极开发的加载程序,然后通过鱼叉式网络钓鱼电子邮件提供远程访问木马。该活动使用欺骗合法组织(例如本案中的空客全球研讨会系列)的电子邮件,引诱与航空、旅行或货运相关的人打开附件。冒充PDF文件的图像包含一个嵌入式链接(通常滥用合法的Web服务),该链接下载恶意VBScript,该VBScript会投放远程访问特洛伊木马有效负载。然后,木马会下载额外的模块,将代码注入RegAsm、InstallUtil或RevSvcs等进程,然后窃取凭据、屏幕截图和网络摄像头数据、浏览器和剪贴板数据、系统和网络信息,并将数据上传到攻击者服务器。微软正在敦促受影响行业的人员验证他们是否已被入侵,并发布了高级搜索查询,可用于定位相关或类似的活动、电子邮件、植入物和环境中的其他入侵指标。网络管理员可以在GitHub上找到有关这些的更多详细信息。
