随着年底的到来,大小公司发送财务邮件、报销发票邮件的频率显著增高,而这正是以“伪装”著称的钓鱼邮件兴风作浪的“大好时机”。近日,腾讯安全联合实验室反病毒实验室就发现,有钓鱼邮件伪装成发票字样的附件瞄准财会人员大肆传播,被感染者的电脑会被结束本机进程,严重危害系统的安全性。
该钓鱼邮件的附件含有“Invoice.rtf”字样,利用漏洞CVE-2017-0199进行有害样本下载,最后落地的可执行文件再下载其他有害文件,进而修改host文件,修改浏览器主页,上传文件到服务器,结束本机进程。
腾讯电脑管家安全专家、腾讯安全联合实验室反病毒实验室负责人马劲松表示,此次攻击链中的各环节样本变种较多,用户一旦疏于防范就会中招。
(腾讯电脑管家查杀病毒)
事实上,瞄准财会人员的定向钓鱼邮件已不是首次出现。今年9月,腾讯安全联合实验室反病毒实验室就曾发现,“最大恶意僵尸网络之一”的Necurs被利用主题为发票的邮件传播勒索病毒变种“.YKCOL”,其命名借用勒索病毒Locky的倒拼,加密文件后会向受害者索取赎金。
马劲松表指出,通过邮件附件进行传播的敲诈勒索病毒通常会伪装成用户需要查看的文档,如信用卡消费清单、产品订单等。附件中会隐藏恶意代码,当用户打开后恶意代码便会开始执行,释放病毒。这类伪装病毒通常会批量发送给企业、高校、医院机构等单位,这些单位中的电脑中通常保存较重要的文件,一旦被恶意加密,支付赎金的可能性远远超过普通个人用户。
除了选取特定的攻击对象外,钓鱼邮件为提升攻击成功率还会与当下流行的系统漏洞结合,如本次利用漏洞CVE-2017-0199传播钓鱼邮件的案例一样。通过腾讯安全联合实验室反病毒实验室刚刚发布的《十月安全舆情报告》也可以看出,十月关于互联网安全的讨论主要集中在漏洞、攻击事件与有害样本。这意味着不法分子利用漏洞发起攻击变得便越来普遍。
马劲松建议广大用户,应提高安全防范意识,警惕任何通过电子邮件发来的信息,及时通过腾讯电脑管家更新系统和软件,打好补丁,同时可下载腾讯电脑管家Office专版免疫微软漏洞攻击,保护个人电脑安全。