“美好的一天,我是……,请下载并确认附有新订单折扣代码的价格表,请注意此优惠权持续至……,我们很高兴与您做生意,谢谢您的合作”。
对于从事钢铁销售行业的用户而言,接到含有上述内容的邮件无疑是喜从天降,但这也有可能“暗藏杀机”。据腾讯智慧安全御见威胁情报中心日常监测网络攻击行为,发现不法黑客频频利用诱饵文档对钢铁行业从业人员发起邮件钓鱼攻击。一旦运行诱饵文档,用户电脑会自动触发CVE-2017-11882漏洞,进而下载病毒文件,实施恶意操作。
(图:钓鱼邮件正文内容)
安全专家透露,该恶意文档主要通过带有“销售合同”、“商品价位表”、“规格书”等字样的垃圾邮件附件进行传播。以其中一封钓鱼邮件为例,主题为“China Steel Offer”,附件带有名为“China Steel Pricelist.doc”的CVE-2017-11882 漏洞文档。漏洞文档一旦打开,直接会从“uploadtops.is”下载和执行NetWire远控木马,从而使受害者沦为不法黑客的 “肉鸡”。据统计,整个7月份网络上类似的邮件钓鱼高达10万余次,借此传播的远控木马类型多达10余种,包括RemcosRAT、NetWire、AgentTesla、LokiBot、HawkEye、Formbook等。
这些远控木马不仅会窃取包括键盘记录、邮箱帐号密码和几乎所有浏览器记录的网站帐号密码等用户个人信息,同时还支持多平台远程控制,根据不法黑客下发的指令下载和执行恶意程序,控制受害者电脑,使之成为僵尸网络的组成部分。
目前来看,受害用户主要为钢铁行业的海外业务拓展人员。安全专家称,主要原因是出于业务拓展需要,不少用户习惯将联系邮箱等信息挂到各大社区网站或论坛,而不法黑客利用爬虫程序能够轻易收集到这些邮箱信息,并加以利用。据腾讯智慧安全御见威胁情报中心监测统计分析,广东、江苏、浙江等沿海地区攻击较为严重。
(图:此次钓鱼邮件地域分布图)
值得警惕的是,在本轮攻击活动中,诱饵文档不仅有钢铁相关的销售合同,而且还有钢铁周边物件规格书,以及包含钢材相关的图片等,迷惑性极强。此外,还有一批攻击活动,采用张贴工商银行票据当诱饵形式,同样使用钓鱼邮件加CVE-2017-11882漏洞的方式,诱导用户点击发起攻击。
(图:“工商银行”票据漏洞文档中内容)
随着办公商务信息化的普及,电子邮件逐渐成为现代化办公的核心,内外沟通方面扮演者重要的角色。然而,形形色色的钓鱼邮件总是让人防不胜防。对此,腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒广大用户,务必提高网络安全防范意识,养成良好的上网习惯,不要轻易打开来历不明的邮件中的附件,发现来历不明文件可利用腾讯电脑管家诈骗信息查询窗口和腾讯哈勃分析系统进行安全检测。同时,企业用户可通过腾讯安全“御界防APT邮件网关”解决恶意邮件的攻击威胁。