![蚂蚁加速器[中国官網]|蚂蚁加速器](/uploads/images/logo/ma-yi-jia-su-qi.png){kind=logo}
骗局:黑客利用版权侵犯威胁来散播恶意软件
重要信息摘要
威胁来源:台湾的最新攻击事件正通过钓鱼电子邮件散播恶意软件。攻击方式:这些电子邮件伪装成版权持有者或法律代表的正式通知,并附加恶意的PDF文件。目标对象:主要针对企业及广告公司。技术分析:恶意文件使用知名科技公司名称作为掩护,并进行了一系列复杂的感染链。恶意软件特征:识别为LummaC2或Rhadamanthys,目的是窃取个人数据和帐号凭证。研究员来自思科Talos发现,当前在台湾发生的攻击事件,通过包含恶意附件的钓鱼电子邮件来进行散播。这些电子邮件伪装成版权持有者或公司法律代表发出的法律通知,并附有自称是法律文件的PDF文件。
研究员Joey Chen写道:“这些伪装的电子邮件和假PDF的档名旨在模仿公司的法律部门,试图诱使受害者下载并执行恶意软件。”
Chen补充道:“另一个观察是,这些假PDF恶意软件使用了台湾和香港知名科技与媒体公司的名字,这强烈表明威胁行为者在发动这次攻击之前进行了充分的调查。”
蚂蚁极速器官网一旦受害者打开这个表面上看似PDF的附件,其实是一个可执行文件,他们将被重定向到一个Google Appspotcom域名,然后再通过一个第三方的网址缩短服务进入Dropbox域名。这个域名将受害者感染真正的有效负载:一种旨在窃取帐号凭证和其他个人信息的情报窃取恶意软件。
流程描述1 钓鱼邮件含有恶意下载链接的电子邮件2 下载RAR文件需要特定密码解压,显示假PDF可执行恶意软件3 感染来源通过Dropbox域名传送真正的恶意软件Chen解释道:“感染链始于一封包含恶意下载链接的钓鱼电子邮件。”他指出,将这次攻击归因于任何一个特定组织是困难的,因为操作人员使用了多种混淆策略。
“通过EPS文件的元数据及其在搜索引擎上的预览图像,我们在一个越南语网站上找到了相同的图像及档名,”研究人员写道。“然而,并没有强有力的证据表明该图像是由该地区的作者创建的。”
