冠状病毒又被利用了?是的,你没有看错!冠状病毒紧急情况被用来传播危险的Emotet木马。我们已经看到网络犯罪分子利用足球世界杯、圣诞节等全球性事件或马来西亚失踪飞机(MH-370)等灾难来传播恶意软件或误导群众。但是,这一次,诈骗者不仅利用全球医疗紧急冠状病毒来传播恶意软件,还从不知情的用户那里窃取敏感数据和个人数据。网络安全公司IBMX-Force和卡巴斯基发现了一项新的活动,在该活动中,僵尸网络驱动的、感染恶意软件的电子邮件被发送给毫无戒心的用户。真正令人作呕的是,诈骗者利用冠状病毒预防主题来诱骗收件人打开它。据报道,这些电子邮件包含附件,这些附件被宣传为包含冠状病毒感染预防措施细节的通知。具有讽刺意味的是,诈骗者正在使用冠状病毒传播另一种广为人知的恶意软件,即Emotet特洛伊木马。此前,Emotet恶意软件仅通过企业形式的支付发票和通知邮件进行传播,但由于冠状病毒感染的全球恐慌,这种恶意传播的影响肯定会更大。IBMX-Force观察到,这些电子邮件中的大部分都是用日语写成的,这表明攻击者故意针对受冠状病毒爆发影响最严重的国家,例如日本。电子邮件的主题行包含表示通知的日语单词,并显示当前日期以生成紧急上下文。此外,这些电子邮件伪装成日本一家残疾福利服务提供商发送的感染预防信息。这封电子邮件是这样的:截图和翻译来源:IBMX-Force在IBMX-Force团队的一篇博文中,他写道:“文中简要指出日本岐阜县有冠状病毒患者的报告,并敦促读者阅读所附文件。”邮件有多个版本,都是同一种语言,但日语地区差异很大,比如在大阪的一些县提到了鸟取县。电子邮件以页脚结尾,显示目标县相关卫生机构的真实邮寄地址、传真和电话号码。除了使用冠状病毒主题外,其余的竞选策略都相当平凡。当收件人打开附件文档时,会出现一条MSOffice365消息,要求用户启用内容以防止文档在受保护的视图中打开。如果在启用宏的情况下打开文档,则隐藏的VBA宏脚本允许PowerShell激活Emotet可执行文件并下载恶意软件。IBMX-Force研究人员表示,这与之前所有Emotet电子邮件活动中使用的技术相同。然而,卡巴斯基指出,Emotet恶意软件活动只是利用冠状病毒恐慌来吸引毫无戒心的用户的众多活动之一。他们已经确定了10个不同的文件,旨在感染冠状病毒主题的设备。卡巴斯基的研究人员解释说:“发现的恶意文件覆盖了有关冠状病毒的PDF、MP4和DOC文件,其中包含有关如何保护自己免受病毒侵害、威胁更新甚至病毒检测程序的视频说明。”相反,提供的特洛伊木马和蠕虫可以破坏、阻止、复制或修改数据或中断计算机网络操作。现在众所周知,冠状病毒起源于中国武汉省,并迅速转变为全球健康危机。同时,诈骗者和黑客将此视为感染设备的绝好机会。因为用户不应点击此类电子邮件或下载附件以保护自身安全。
