close

駭侵者以肺炎為名,透過魚叉式網路釣魚,散布惡意 Excel 檔.png

微軟資安研究團隊指出,觀測到有駭侵者利用主題為肺炎大流行資訊的魚叉式釣魚信件,散播內含遠端遙控工具的惡意 Excel 檔。

微軟資安研究團隊日前指出,該團隊觀測到五月上旬開始有駭侵者,利用主題為肺炎大流行資訊的魚叉式釣魚信件,散播內含遠端遙控工具的惡意 Excel 檔。

微軟說,駭侵者將信件偽造為寄自約翰霍普金斯大學的疫病相關研究單位,信件標題為「世界衛生組織 COVID-19 疫情報告」(WHO COVID-19 SITUATION REPORT),用以取信被害人。

在這封魚叉釣魚郵件中夾帶的惡意 Excel 檔,名稱為「covid_usa_nyt_8702.xls」,屬於Excel 4.0 格式;打開後會看到一個安全提問訊息;如果用戶同意的話,就會自網路上下載一個巨集程式,同時執行內含的 RAT 遠端遙控工具。

雖然這個稱為 NetSupport Manager 的 RAT 遠端遙控工具,本身並非惡意軟體,而是系統管理者經常用來遠端控機其他主機的常用軟體,但過去經常傳出該工具被駭侵者惡意運用的案例。

以這個案例來說,一旦成功執行巨集中的 NetSupport,駭侵者就會在受害系統中植入多個 .dll、.ini、.exe 等程式,同時安裝一個 VBScript,再透過 PowerSploit 連線到一台駭侵攻擊使用的控制伺服器。


  • 參考連結

https://twitter.com/MsftSecIntel/status/1262504864694726656

https://www.centerforhealthsecurity.org

https://threatpost.com/coronavirus-emails-netsupport-rat-microsoft/156026/

arrow
arrow
    創作者介紹
    創作者 twcert 的頭像
    twcert

    台灣電腦網路危機處理暨協調中心-TWCERT/CC

    twcert 發表在 痞客邦 留言(0) 人氣()