當心，你收到的疫情相關郵件可能是病毒攻擊

警惕！黑客已將疫情資訊融入到網際網路黑產攻擊鏈和產業鏈，對疫情資訊關注者發動攻擊。

自新型冠狀病毒感染的肺炎疫情發生以來，綠盟科技高度關注不法分子使用疫情話題發起的黑客攻擊。通過對近期網路威脅行為的跟蹤與分析，綠盟科技伏影實驗室發現在經過一段時間的試探過程後，黑客已將新型冠狀病毒肺炎疫情資訊融入到網際網路黑產攻擊鏈和產業鏈當中，對疫情資訊關注者發動攻擊。

行騙套路一：魚叉郵件

魚叉郵件是黑客攻擊過程中社會工程學的主要表現，因此攻擊者通常會根據時事新聞更新魚叉郵件的誘餌資訊內容。此次新冠肺炎疫情顯然給攻擊者提供了借題發揮的平臺。綠盟科技發現，近期已有主流惡意郵件傳播的木馬家族在誘餌內容中加入了疫情相關資訊，藉此增加郵件誘餌的可信度。

案例一

假借疫情放假資訊，FormBook木馬發動魚叉郵件攻擊

綠盟科技近期捕獲了FormBook木馬利用肺炎疫情發起的攻擊事件。該起攻擊事件中，攻擊者將疫情資訊融入魚叉郵件誘餌中，設計了欺騙度極高的社工內容，藉此攻擊羅馬尼亞的機動車製造商。

該誘餌郵件內容如下：

在精心構造的社工郵件內容中，攻擊者偽裝為企業員工，催促郵件接收者儘快檢查附件內容並回復。為提高可信度，郵件中聲稱該因為受新冠肺炎疫情影響，該公司將放假延長到2月9日，並延期至2月10日復工（Because of the infflience of coronavirus, our holiday has been extended to 9th Feb, we will return to work fully on the 10th Feb）。從郵件內容來看，攻擊者對疫情時事較為了解，可能是有組織的黑客團體。

附件檔案REQUEST1.iso

該郵件的惡意載荷包含兩層偽裝。光碟映象檔案REQUEST1.iso中包含一個螢幕保護檔案co2.scr，實際為惡意的PE可執行檔案：

混淆外殼co2.scr

co2.scr是.net外殼程式，混淆了函式名、函式內容以及程式碼邏輯，用來干擾防毒引擎和分析軟體的分析：

對該程式脫殼後，可以獲取第二層載荷PLxHldNnIKOb.exe

載入器PLxHldNnIKOb.exe

PLxHldNnIKOb.exe是Dropper程式，將自身資源段中攜帶的二進位制檔案解密並使用指定方式載入執行。根據配置的不同，該程式支援以下惡意行為：

該程式使用隔位異或的方式解密資源段內容，解密鍵為OOmmuoPtHAHiIjANYoKqZhYfb：

根據設定，PLxHldNnIKOb.exe程式執行後會將最終載荷hRNfZekS載入至記憶體執行。

最終載荷hRNfZekS

Dropper檔案釋放執行的最終載荷是新版本的FormBook木馬程式，連線C&C為www.4my.fans。FormBook是一款多功能木馬，主要用於竊取使用者主機資訊或作為跳板下載執行其他惡意程式。

FormBook木馬有高度對抗行為，會通過建立傀儡程式，反向注入等行為將注入行為複雜化。受C&C指令控制，FormBook木馬可以執行以下行為：

案例小結：FormBook是有較長曆史的木馬程式，被國際上多個黑客組織大量使用。目前，搭載FormBook的魚叉郵件已成為對郵件使用者的主要威脅種類之一。該起藉助冠狀病毒資訊的魚叉郵件攻擊事件表明，黑客組織對攻擊流程中載荷投遞階段的設計十分重視，更新速度快，誘餌質量高。郵件使用者切不可因郵件內容的高可信度而麻痺大意，應謹慎對待郵件附件，不執行未知程式，將可疑檔案交由安全人員處理。

案例二

Emotet木馬來襲，黑客偽裝成日本各縣市的保健所釋出郵件

隨著疫情的發展，同屬於知名郵件木馬的Emotet木馬家族，近期也使用包含新冠肺炎疫情資訊的郵件在日本進行傳播。這些針對日本的魚叉郵件，發件者普遍偽裝為日本各縣市的保健所，郵件內容在強調新冠肺炎疫情的同時，要求收件者開啟附件中的“對策”或“通知”檔案。

doc文件載荷

這些郵件附帶的doc文件，顯示社工內容欺騙使用者執行內建的vba指令碼，該vba指令碼會執行powershell命令，安裝Emotet木馬程式。

Emotet木馬

Emotet家族屬於銀行木馬，出現於2014年，主要以垃圾郵件形式傳播，感染Windows主機後並盜取使用者郵箱來獲得重要個人財務資訊。近年來，Emotet在多起事件中被發現開始用於傳播其他惡意家族，涉及銀行木馬、DDoS和勒索等。

Emotet傳播的其它部分惡意家族分類如下表所示：

有資訊顯示，Emotet木馬主要受黑客組織Mealybug操縱，從2014年開始維護Emotet程式碼並展開多次攻擊。該利用疫情資訊傳播的郵件中搭載的Emotet木馬是該家族的最新版本，標記為Emotet_Doc_Downloader_C，在doc型別惡意檔案中非常多見：

案例小結：這起攻擊事件表明，Emotet成為惡意郵件傳播的主要木馬家族絕非偶然。無論是攻擊時間（最早出現在1月底）還是誘餌質量（保健所名稱和聯絡方式屬實），Emotet都走在了惡意郵件家族的前列。普通郵件使用者在接觸到外文型別的郵件時，應預設按照惡意郵件來進行處理，千萬不要一時好奇，被攻擊者所利用。

行騙套路二、熱點名稱的惡意程式

除魚叉郵件外，部分攻擊者也會使用熱點關鍵詞作為檔名稱，投遞惡意程式進行攻擊。部分惡意程式名稱與主要功能見下表：

這些程式大多是資料清除程式或遠控木馬，使用熱點事件進行簡單的社會工程學加工，屬於願者上鉤型。

安全總結：通過正規渠道獲取疫情相關資訊，避免因獵奇心理導致裝置中招。

新型冠狀病毒肺炎疫情的爆發，給黑客們提供了絕佳的社會工程學材料，小到個人大到組織，紛紛利用本次事件擴大武器的攻擊面。

近期，許多平常接觸網路較少的使用者開始在網際網路渠道獲取資訊，這些群體缺乏對資訊的基本鑑別能力，難以正確識別和阻截這些惡意軟體。因此我們建議，一定要通過正規渠道獲取疫情相關資訊，避免因獵奇心理導致裝置中招。

 

綠盟科技伏影實驗室專注於安全威脅研究與監測技術，包括但不限於威脅識別技術，威脅跟蹤技術，威脅捕獲技術，威脅主體識別技術。研究目標包括：殭屍網路威脅，DDOS對抗，WEB對抗，流行服務系統脆弱利用威脅、身份認證威脅，數字資產威脅，黑色產業威脅 及 新興威脅。通過掌控現網威脅來識別風險，緩解威脅傷害，為威脅對抗提供決策支撐。