微軟安全情報團隊剛剛在一連串的推文中發出了警示,提醒惡意軟件制作者正在積極準備滲透航空業。近段時間,基于網絡釣魚的電子郵件活動有在持續發生。如果不幸中招,惡意軟件會積極分發加載程序,然后敞開遠程木馬訪問的后門。以近日常見的“空客全球研討會”釣魚郵件為例,其攻擊者試圖打著合法組織的名義來招搖撞騙。
對于從事航空、旅行、貨運相關行業的人們來說,還請對此類郵件附件保持高度警惕。
偽造的 PDF 文件圖像,包含了一個嵌入式的鏈接(通常基于合法 Web 服務的濫用)。攻擊者會利用該鏈接來下載惡意 VBScript 腳本,以加載遠程訪問用的特洛伊木馬。
用于初始感染的 VBS 文件(圖 via Hossein Jazi)
之后,木馬會下載惡意軟件所需的其它模塊,將代碼注入 RegAsm、InstallUtil 或 RevSvcs 之類的進程中,最終將竊取的登錄憑據、屏幕截圖、網絡攝像頭、瀏覽器、剪貼板、以及系統和網絡等數據,上傳至攻擊者的指定的服務器。
Snip3 攻擊流程圖(圖自 Morphisec)
微軟敦促受影響的行業從業者們主動驗證其是否受到了此類攻擊,并且分享了可在生產環境中查找類似惡意軟件活動的高級查詢工具。有需要的 IT 管理員,可移步至 GitHub 了解詳情。
