信息化觀察網(wǎng)

趁火打劫，惡意軟件借新冠病毒發(fā)起釣魚攻擊在重大公眾事件中趁火打劫是網(wǎng)絡(luò)犯罪分子的一貫伎倆。例如世界杯、馬航事件、日本福島核泄漏等事件中，都伴生著大量惡意軟件傳播和網(wǎng)絡(luò)欺詐行為，隨著新冠肺炎疫情引發(fā)全球關(guān)注，一系列新的惡意軟件和攻擊手段也蜂擁而來。

近日，網(wǎng)絡(luò)安全公司Mimecast、KnowBe4、IBM X-Force和卡巴斯基先后發(fā)現(xiàn)了一系列針對(duì)“新冠病毒恐慌”惡意軟件傳播的活動(dòng)，攻擊者利用公眾對(duì)新冠病毒的恐慌，發(fā)送含有惡意軟件連接或者文件的郵件給用戶，并用冠狀病毒關(guān)鍵詞主題誘騙接收者打開惡意附件或者鏈接。

目前，美國(guó)、日本等國(guó)家都發(fā)現(xiàn)此類冠狀病毒主題的釣魚郵件攻擊。

這些惡意軟件電子郵件假冒疾控中心或相關(guān)疫情防控機(jī)構(gòu)，主題大多與冠狀病毒通知、冠狀病毒預(yù)防有關(guān)等。這些釣魚電子郵件包含惡意附件，偽裝成與病毒通知和預(yù)防相關(guān)的文件。

特別值得注意的是，部分釣魚郵件借用冠狀病毒來傳播一種臭名昭著的木馬病毒——Emotet。以前，Emotet惡意軟件傳播的常用套路是偽裝成公司樣式的付款發(fā)票和通知電子郵件，但是由于冠狀病毒感染的全球性恐慌，號(hào)稱“全球首個(gè)敏捷開發(fā)病毒”的Emotet，第一時(shí)間就對(duì)“投放”策略和“物料”做出了調(diào)整，果然夠“敏捷”。

安全公司Mimecast和IBM XForce都發(fā)現(xiàn)了Emotet的冠狀病毒主題釣魚郵件攻擊，既有針對(duì)美國(guó)和歐洲用戶的，也有針對(duì)日本用戶的。

樣本如下：

1.假冒CDC疾控中心包含惡意鏈接釣魚郵件樣本

冠狀病毒網(wǎng)絡(luò)釣魚電子郵件示例（KnowBe4）

2.假冒防疫專家包含惡意鏈接的釣魚郵件樣本

3.假冒健康機(jī)構(gòu)針對(duì)日本用戶的釣魚郵件樣本

下面是IBM X-Force發(fā)現(xiàn)的使用日語編寫的釣魚郵件，含有一個(gè)Word宏攻擊文件，誘騙用戶啟用宏以后，可通過PowerShell將Emotet安裝在用戶設(shè)備中。郵件偽裝成由日本的殘疾福利服務(wù)提供商發(fā)送的感染預(yù)防信息，目標(biāo)是那些受到冠狀病毒爆發(fā)影響較大的用戶（大阪、岐阜縣等地）。 同時(shí)為了增加可信度附上了相關(guān)健康機(jī)構(gòu)的真實(shí)郵寄地址，傳真和電話號(hào)碼：

來源：IBM X-Force

總結(jié)：釣魚風(fēng)暴才剛剛開始

產(chǎn)品高速迭代的敏捷化組織——Emotet開發(fā)團(tuán)隊(duì)，對(duì)安全行業(yè)和企業(yè)安全部門的反應(yīng)能力是一個(gè)空前的挑戰(zhàn)。根據(jù)卡巴斯基的報(bào)告，Emotet惡意軟件活動(dòng)只是利用冠狀病毒恐慌吸引毫無戒心用戶的眾多活動(dòng)之一。卡巴斯基已經(jīng)確定了10個(gè)不同惡意軟件（木馬和蠕蟲，可破壞復(fù)制修改數(shù)據(jù)或者中斷計(jì)算機(jī)網(wǎng)絡(luò)，常見附件格式為.PDF、.MP4、.DOC文件），都試圖通過冠狀病毒主題郵件感染設(shè)備。

對(duì)于身處冠狀病毒重災(zāi)區(qū)的中國(guó)用戶，雖然目前尚未有冠狀病毒中文惡意軟件釣魚郵件的正式報(bào)道，但是相關(guān)安全人員和最終用戶應(yīng)當(dāng)提高警惕（已經(jīng)出現(xiàn)日文版本），盡快部署防范措施和相關(guān)培訓(xùn)。

下面是日本CERT（計(jì)算機(jī)緊急響應(yīng)小組）最新發(fā)布的實(shí)用程序EmoCheck（GitHub：https://github.com/JPCERTCC/EmoCheck），可以幫助Windows用戶輕松檢查是否感染了Emotet木馬。

如果運(yùn)行EmoCheck發(fā)現(xiàn)已被感染，則應(yīng)立即打開任務(wù)管理器終止相關(guān)進(jìn)程，然后用防病毒軟件掃描計(jì)算機(jī)，以確保木馬尚未將其他惡意軟件下載并安裝到計(jì)算機(jī)上。對(duì)于網(wǎng)絡(luò)管理員來說，此工具也很有用，它可以用作登錄腳本的一部分，快速查找已感染了Emotet的計(jì)算機(jī)，以防止全面的勒索軟件攻擊。