冠状病毒:行走的互联网威胁制造机

 

大家好,我是零日情报局。

真正让我们恐惧的是恐惧本身。——罗斯福

截止至2月3日20时25分,始于武汉的新型肺炎,全球感染人数已累计超17335例,神秘的冠状病毒成为全世界舆论关注的焦点。

pastedGraphic_1.png

而就在这场人类与生物病毒方兴未艾的博弈中,新型冠状病毒的毒火已烧到网络空间。

最近,日本等国相继曝出“新冠”主题网络攻击事件,木马等恶意程序借民众恐慌情绪肆虐网络。

 

生物病毒成网络病毒扩散机

提起Emotet,都知道这是一款广泛传播的恶意银行木马。而在严峻的疫情下,一向偏好假冒企业付款通知和发票的Emotet木马,也开始变换策略趁火打劫。

本周,IBM和Kaspersky先后发布报告,称最近出现一系列以冠状病毒为主题的钓鱼邮件攻击活动,日本岐阜县、大阪市和鸟取县等多个县市相继出现同类事件。

被发现的恶意文件被伪装成与冠状病毒相关的pdf,mp4和docx文件。这些电子邮件声称附件内有疾病相关预防感染的通知。颇具讽刺意味的是,这只是传播另一种“病毒”的借口,特别是臭名昭著的Emotet木马。

从IBM安全专家的分析结果来看,多数恶意邮件均仿冒来自日本残障福利服务提供商的信息,并在邮件结尾处,提到了合法的邮政地址、电话和传真号码。电子邮件的主题还包含当前日期和日语单词“ notification”(通知),以营造紧迫感。

根据IBM报告,这些电子邮件中每一封均包含一个附加的Word文档,该文档被描述为提供最新的健康信息。

(针对日本受害者的电子邮件)

而一旦打开文件附件并启用了Office365宏,模糊的VBA宏脚本则将在后台运行,然后安装Powershell脚本并下载Emotet 木马。

以一份钓鱼邮件样本为例,邮件中网络犯罪分子宣称在日本岐阜、大阪等地区发现冠状病毒,以此来警告甚至是恐吓收件人,诱导他们点开邮件附件,也就是上面提到的携带了Emotet木马的文档。

令人担忧的是,IBM称传播Emotet木马的网络犯罪分子的真正目标,有可能是更靠近冠状病毒源头的中国地区,未来几周甚至可能会将攻击目标转向日本以外的国家和地区。

大洋彼岸的美英两国,近期也的确出现了利用冠状病毒扩散的钓鱼邮件。不难看出,冠状病毒无形中已然成为Emotet木马等恶意软件扩散的新利器。

 

传染病毒催生互联网威胁

横扫全球24国4大洲的生物病毒,蔓延至网络空间,成为了老牌木马Emotet肆虐的加速器,而其对网络空间安全的影响却更为复杂且多元。

pastedGraphic_4.png

(新型冠状病毒确诊病例图)

扁鹊对蔡桓公说的那句“不治将恐深”,也许可以贴切地形容网络病毒借疫情事件扩散的内核。而深揪其背后深层因素,则可以大致从以下两个方向来说。

恐慌疫情成网络攻击突破口。无利不起早。网络犯罪分子紧抱冠状病毒高危疫情大腿,无非是利用人们对高危疫情的恐慌心理,趁机借势扩散网络病毒谋利。

此次威胁层级骤升的冠状病毒疫情,给普通人带来的恐慌情绪,可以说是近年来最严重的一次。对于那些从HIN1蹭到MERS疫情的黑客来说,更是借势扩散网络病毒的绝佳时机。

pastedGraphic_5.png

网络攻击将令疫情复杂化。正所谓三人成虎,当疫情成为网络攻击的跳板,一方面助长了民众的恐慌情绪,另一方面则无形中阻碍了疫情防控。

就像一些安全团队强调的那样,在当前全国乃至全球紧盯疫情发展趋势的大环境下,假借冠状病毒名头,发起的网络攻击不仅难防,更恐将危及疫情防控工作的有序进行。

毕竟网络犯罪分子中,不仅有谋利的黑客组织,还有出于政治目的的APT。如果打开的钓鱼攻击,不是出自一般性黑客组织,而是精准打击的APT,其后果不堪设想。

 

零日反思

经济“大萧条”时期,引领美国走出阴霾的罗斯福曾坦言“真正让我们感到恐惧的,只是‘恐惧’本身。”

疫情当前,网络空间伺机而动的黑手,正是利用人们的恐惧趁势作乱,这就要我们不仅得有网络安全防护方案,更要提高防范意识。

零日情报局作品

微信公众号:lingriqingbaoju

参考资料:

BankinfoSecurity 《假冠状病毒信息传播情感感染》

image6.gif

(完)