国家计算机病毒应急处理中心通过对互联网的监测,发现恶意用户正在利用新冠肺炎病毒疫情相关主题为诱饵,在全球范围内发动鱼叉式钓鱼邮件攻击,目的是传播Remcos远控木马等多种恶意软件,以窃取用户金融资产和敏感信息。
Remcos远控木马自2016年下半年开始在黑客论坛公开售卖,其后经过多次版本更新,功能日益强大。恶意用户向互联网用户发送伪装成PDF文档且文件名为“CoronaVirusSafetyMeasures_pdf.exe”(译为:冠状病毒安全防范措施)的诱饵可执行程序文件,诱使受害者打开后投送恶意软件以实现窃密。恶意用户对使用的恶意软件进行了强加密,感染目标主机后,恶意软件会从文件托管服务器下载125KB的随机字节用来解密;感染目标主机后,恶意软件会自动修改注册表项以实现持久驻留;Remcos远控木马还会将收集到的全部敏感数据发送到指定的命令控制服务器。
利用热点新闻来增加恶意软件的感染率已经成为攻击者的常用手段,目前新型冠状病毒的相关消息是全世界关注的焦点,类似的网络安全事件很可能不断出现,应当引起高度重视。建议单位和企业加强员工尤其是管理人员和财务人员的安全意识培训,及时安装操作系统和办公软件的安全更新程序;对来源不明的邮件、文档提高警惕,避免打开不必要的宏程序;同时使用最新版本的网络安全产品防御已知的病毒木马攻击,防范类似攻击行为的发生。
|