国家计算机病毒应急处理中心通过对互联网的监测发现,自2018年5月以来使用新型Downloader sLoad发送恶意电子邮件活动。sLoad是一个用来下载PowerShell的程序,其最常投递的是Ramnit银行木马,并且其中还包含值得我们关注的侦查功能。该恶意软件收集有关被感染主机的信息,包括:正在运行的进程列表、Outlook相关信息以及Citrix相关文件。此外,sLoad还可以获取屏幕截图,并检查特定域名的DNS缓存,以及加载外部的二进制文件。
根据历史监测到的信息,该恶意活动主要针对于意大利、加拿大和英国地区,向这些地区的邮箱发送恶意电子邮件。这些电子邮件使用相应国家的语言撰写,通常会针对每个用户进行个性化定制,在电子邮件正文和标题部分包含收件人的姓名与地址。TA554经常使用快递运送或订单通知主题诱导目标用户点击,邮件中包含压缩LNK文件的URL链接,或是在附件中包含压缩文档。LNK文件或压缩文档将下载下一阶段的恶意软件,通常是一个PowerShell脚本,该脚本用于下载最终PowerShell或其他Downloader。
针对该恶意程序所造成的危害,建议用户安装安全防护软件,并将病毒库升级至最新版本。同时,不要打开不明来历的电子邮件,以防受到该恶意程序的影响,造成严重的损失。
|