大家好，我是 零日情報局。

本文首發於公眾號 零日情報局，微信ID：lingriqingbaoju。

真正讓我們恐懼的是恐懼本身。——羅斯福

截止至2月3日20時25分，始於武漢的新型肺炎，全球感染人數已累計超17335例，神祕的冠狀病毒成為全世界輿論關注的焦點。

而就在這場人類與生物病毒方興未艾的博弈中，新型冠狀病毒的毒火已燒到網路空間。

最近，日本等國相繼曝出“新冠”主題網路攻擊事件，木馬等惡意程式借民眾恐慌情緒肆虐網路。

生物病毒成網路病毒擴散機

提起Emotet，都知道這是一款廣泛傳播的惡意銀行木馬。而在嚴峻的疫情下，一向偏好假冒企業付款通知和發票的Emotet木馬，也開始變換策略趁火打劫。

本週，IBM和Kaspersky先後釋出報告，稱最近出現一系列以冠狀病毒為主題的釣魚郵件攻擊活動，日本岐阜縣、大阪市和鳥取縣等多個縣市相繼出現同類事件。

被發現的惡意檔案被偽裝成與冠狀病毒相關的pdf，mp4和docx檔案。這些電子郵件聲稱附件內有疾病相關預防感染的通知。頗具諷刺意味的是，這只是傳播另一種“病毒”的藉口，特別是臭名昭著的Emotet木馬。

從IBM安全專家的分析結果來看，多數惡意郵件均仿冒來自日本殘障福利服務提供商的資訊，並在郵件結尾處，提到了合法的郵政地址、電話和傳真號碼。電子郵件的主題還包含當前日期和日語單詞“ notification”（通知），以營造緊迫感。

根據IBM報告，這些電子郵件中每一封均包含一個附加的Word文件，該文件被描述為提供最新的健康資訊。

（針對日本受害者的電子郵件）

而一旦開啟檔案附件並啟用了Office365巨集，模糊的VBA巨集指令碼則將在後臺執行，然後安裝Powershell指令碼並下載Emotet 木馬。

以一份釣魚郵件樣本為例，郵件中網路犯罪分子宣稱在日本岐阜、大阪等地區發現冠狀病毒，以此來警告甚至是恐嚇收件人，誘導他們點開郵件附件，也就是上面提到的攜帶了Emotet木馬的文件。

令人擔憂的是，IBM稱傳播Emotet木馬的網路犯罪分子的真正目標，有可能是更靠近冠狀病毒源頭的中國地區，未來幾周甚至可能會將攻擊目標轉向日本以外的國家和地區。

大洋彼岸的美英兩國，近期也的確出現了利用冠狀病毒擴散的釣魚郵件。不難看出，冠狀病毒無形中已然成為Emotet木馬等惡意軟體擴散的新利器。

傳染病毒催生網際網路威脅

橫掃全球24國4大洲的生物病毒，蔓延至網路空間，成為了老牌木馬Emotet肆虐的加速器，而其對網路空間安全的影響卻更為複雜且多元。

扁鵲對蔡桓公說的那句“不治將恐深”，也許可以貼切地形容網路病毒借疫情事件擴散的核心。而深揪其背後深層因素，則可以大致從以下兩個方向來說。

恐慌疫情成網路攻擊突破口。無利不起早。網路犯罪分子緊抱冠狀病毒高危疫情大腿，無非是利用人們對高危疫情的恐慌心理，趁機借勢擴散網路病毒謀利。

此次威脅層級驟升的冠狀病毒疫情，給普通人帶來的恐慌情緒，可以說是近年來最嚴重的一次。對於那些從HIN1蹭到MERS疫情的黑客來說，更是借勢擴散網路病毒的絕佳時機。

網路攻擊將令疫情複雜化。正所謂三人成虎，當疫情成為網路攻擊的跳板，一方面助長了民眾的恐慌情緒，另一方面則無形中阻礙了疫情防控。

就像一些安全團隊強調的那樣，在當前全國乃至全球緊盯疫情發展趨勢的大環境下，假借冠狀病毒名頭，發起的網路攻擊不僅難防，更恐將危及疫情防控工作的有序進行。

畢竟網路犯罪分子中，不僅有謀利的黑客組織，還有出於政治目的的APT。如果開啟的釣魚攻擊，不是出自一般性黑客組織，而是精準打擊的APT，其後果不堪設想。

零日反思

經濟“大蕭條”時期，引領美國走出陰霾的羅斯福曾坦言“真正讓我們感到恐懼的，只是‘恐懼’本身。”

疫情當前，網路空間伺機而動的黑手，正是利用人們的恐懼趁勢作亂，這就要我們不僅得有網路安全防護方案，更要提高防範意識。

零日情報局作品

微信公眾號：lingriqingbaoju

如需轉載，請後臺留言

歡迎分享朋友圈

參考資料：
BankinfoSecurity 《假冠狀病毒資訊傳播情感感染》