網(wǎng)絡(luò)犯罪者假借迪拜、巴林島、土耳其、加拿大執(zhí)法機(jī)構(gòu)官員的名義發(fā)送恐怖襲擊警報(bào)郵件,實(shí)質(zhì)上這些郵件是暗藏Sockrat后門(mén)的釣魚(yú)郵件。
本月早些時(shí)候,賽門(mén)鐵克發(fā)現(xiàn)惡意郵件冒用阿拉伯聯(lián)合酋長(zhǎng)國(guó)執(zhí)法部門(mén)(尤其是迪拜警方)的郵件地址發(fā)送魚(yú)叉式釣魚(yú)郵件。這些釣魚(yú)郵件偽裝成迪拜警方發(fā)出的警告郵件,借著人們對(duì)恐怖襲擊事件恐懼的弱點(diǎn),誘騙用戶點(diǎn)開(kāi)惡意附件。附件偽裝是提供一些有價(jià)值的安全建議,以幫助收件人在遭遇恐怖襲擊時(shí)更好的保護(hù)好他們自己、保護(hù)他們的公司和他們的家庭。
為了增加郵件的可信度,網(wǎng)絡(luò)犯罪者在郵件的最下方以迪拜現(xiàn)任警察局中將(同時(shí)也是迪拜酋長(zhǎng)國(guó)安全負(fù)責(zé)人)的名字簽名。
郵件中有兩個(gè)附件:一個(gè)是PDF文件,該文件并沒(méi)有什么惡意程序,純粹是一個(gè)誘餌文件;另一個(gè)是.jar格式的壓縮文件,里面含有惡意程序。對(duì)這個(gè)惡意程序的進(jìn)一步研究確認(rèn),惡意活動(dòng)背后的網(wǎng)絡(luò)犯罪者使用的是一個(gè)叫做Jsocket( Backdoor.Sockrat)多平臺(tái)遠(yuǎn)程訪問(wèn)木馬。該木馬是從AlienSpy RAT木馬中新衍生出來(lái)的一個(gè)版本,而AlienSpy RAT早在今年初的時(shí)候就已經(jīng)停止使用了。
毫無(wú)規(guī)律可言的攻擊目標(biāo)
網(wǎng)絡(luò)犯罪者發(fā)動(dòng)此次攻擊活動(dòng)主要針對(duì)的是UAE國(guó)家的公司和員工,另外我們還在其他3個(gè)國(guó)家發(fā)現(xiàn)了類(lèi)似的魚(yú)叉式釣魚(yú)攻擊:巴林島、土耳其、加拿大。和迪拜的模式一樣,他們會(huì)在郵件下面是用現(xiàn)任執(zhí)法機(jī)構(gòu)官員的名稱作為簽名,以使受害者相信郵件是真實(shí)的,而且也聲稱附件是提供防護(hù)的方法。
很有趣的是,盡管這些郵件都不是用各國(guó)自己官方語(yǔ)言書(shū)寫(xiě)的,但是郵件還是十分的狡猾。所有網(wǎng)絡(luò)犯罪者計(jì)劃中使用的官員當(dāng)下都是在職的。而且大部分情況下,郵件主題中顯示的員工名稱都在目標(biāo)公司中工作。所有的細(xì)節(jié)都暗示著,網(wǎng)絡(luò)犯罪者在發(fā)送釣魚(yú)郵件時(shí)應(yīng)該事先做過(guò)調(diào)查研究。
賽門(mén)鐵克確定這以攻擊活動(dòng)將目標(biāo)鎖定在了中東和加拿大的一些大公司,并沒(méi)有針對(duì)特定某一行業(yè),目前發(fā)現(xiàn)被攻擊的行業(yè)有:能源、國(guó)防承包商、金融、政府、市場(chǎng)和IT。
解決方法
用戶應(yīng)當(dāng)時(shí)刻保持警惕,當(dāng)心一些社工技巧,保護(hù)用戶數(shù)據(jù)安全。還有一些具體的方法如下:
1.不要打開(kāi)可疑郵件中的附件和鏈接
2.在回復(fù)郵件時(shí)避免留下個(gè)人信息
3.不要在彈出的對(duì)話框或者屏幕中輸入個(gè)人信息
4.及時(shí)更新安全軟件
5.如果不能確定郵件的合法性,及時(shí)聯(lián)系IT部門(mén)
京公網(wǎng)安備 11010502049343號(hào)