攻擊模式 .png

TWCERT/CC接獲通報,近日有發現駭客偽冒學術單位的網域名稱發送mail,博取收信企業之信任,發送要求報價為題的惡意郵件,引誘使用者點擊信件。並於信件中夾帶2個含有惡意巨集(Marco)的PowerPoint檔案,當使用者開啟該惡意PowerPoint檔案,會執行巨集指令下載惡意腳本。該惡意腳本透過Mshta執行schtasks.exe微軟工作排程,每次開機時會執行惡意腳本建立並維持後門連線。經檢測人員,發現這兩個惡意檔案雖檔名不同,但Hash相同。並使用合法網頁如:pastebin剪貼簿與j.mp縮網址躲避防毒軟體偵測。

相關攻擊手法如圖,若需進一步IOC資訊請用企業信箱寄信至twcert@cert.org.tw索取,謝謝。

    twcert 發表在 痞客邦 留言(0) 人氣()