紧急提醒！一个打着“新冠病毒”旗号的木马，正在发起攻击！

不法分子将暗藏恶意代码的表格文档，用“冠状病毒影响船员和船舶”的名称，发送至目标人群邮箱。

2020年伊始，一场突如其来的新冠疫情席卷全球。

就在这样一个全民抗“疫”的关键时刻，有一款木马，竟然打着“新冠病毒”的旗号，发动了一场针对航运业的攻击。

近日，360公司旗下的网络安全防御雷达系统——360安全大脑，首次拦截到了以“新冠病毒”为主题的网络袭击。

经分析，不法分子仿冒新加坡航运公司Nova的官方域名“www.nova-ship.com”，由此可以推断，此次攻击主要针对航运业。

据了解，这一网络袭击通过瞄准大型航运公司，定向扩散商业间谍木马“HawkEye Keylogger 10.0”（又称鹰眼键盘记录器）。

不法分子通过邮件，将暗藏恶意代码的表格文档，用一种极具诱惑性的名称——“冠状病毒影响船员和船舶”（CORONA VIRUS AFFECTED CREW AND VESSEL），发送至目标人群邮箱。

当受害者打开恶意文档时，界面会显示一个带有安全警告的禁用提示。

值得注意的是，即使用户拒绝，不法分子仍会通过office编辑器漏洞，让文档携带的恶意代码在目标电脑中自动运行。

代码一旦成功运行，该病毒会将目标电脑上的账号密码、键盘记录、屏幕截图、摄像头、剪切板等信息回传。

此外，经网络安全专家调查发现，全球范围内发生的多起同类事件，均为同一个匿名实体注册，出自同一团伙之手，并可能存在多个病毒同时扩散的情况。

伎俩一:

冒充“新冠病毒”防控邮件 诱导用户点击运行

据悉,此次的“HawkEye Keylogger 10.0”木马病毒,主要利用钓鱼邮件的方式传播扩散。不法分子将暗藏恶意代码的表格文档“CORONA VIRUS AFFECTED CREW AND VESSEL.xlsm”发送至目标人群邮箱。

而该文档名翻译成中文即为“冠状病毒影响船员和轮船航运”,在新冠疫情防控的当下,极具诱导性,操作者很容易受诱导打开恶意文档。而一旦打开,界面又会显示一个带有安全警告的宏禁用提示,再一次诱导用户点击运行。

一旦用户点击运行x这款木马病毒就将窃取设备上的信息。

此外,该“鹰眼”恶意软件,也可以作为加载器,利用其僵尸网络帮助第三方威胁行为者将其他恶意软件加载至该设备。

伎俩二:

钻office漏洞,强行嵌入恶意代码

据悉,如果“鹰眼”恶意软件使用邮件诱导用户的伎俩没有成功,那么接下来,它就会通过经典的office公式编辑器漏洞(CVE-2017-11882),让文档携带的恶意代码在用户电脑中自动运行。

这一步一旦成功后,将下载解密木马核心模块“Hawk Eye Keylogger”,并根据资源中的加密配置,将信息回传给远程ESMTP服务器,具体地址为“mail.novaa-ship.com”,而发送邮件所使用的账号则为“armani@novaa-ship.com”(阿玛尼)。

伎俩三:

伪装成航运巨头的企业域名

除了上述两个伎俩,还发现冒充航运巨头企业的域名,也是这款“鹰眼”恶意软件的常用手段,比如新加坡Nova航运公司官方域名就被该恶意软件冒用,其通过在“nova”域名后增加字母 “a”,用以迷惑客户和用户。

此外,最近英国某知名航运公司的计算机也遭受到未经授权的网络入侵,导致整个预防系统措施沦陷。

在遭遇网络侵袭后,该公司立即采取了防御措施,并调派外部专家、网络安全专家,努力尽快完成恢复工作,将黑客攻击对航运业务的影响降到最低。

网络攻击将给航运企业带来巨大损失,我们还记得马士基集团2017年遭受的网络攻击,当时马士基集团的的港口和航运业务受到全面影响,持续时间长达两周,马士基直接损失了近3亿美元。

据悉,目前该“鹰眼”恶意木马软件正打着“新冠病毒”的旗号快速扩散,并向国际商业范畴蔓延,攻击对象包括航运业在内的整个国际贸易网络。 

所以提醒航运企业,在全力防控新冠疫情的同时,还要警惕不法分子冒用“新冠病毒”旗号欺骗攻击,要做好邮件甄别,筑牢网络安防堡垒。在针对这场新冠病毒的战疫中,既确保人员安全,又确保网络安全。

当前，很多企业正通过远程办公的形式开展业务，这无疑给“远程办公”埋下了诸多安全隐患。

在此，建议广大企业做好以下防护措施，确保网络安全。

下载相关网络安全软件，查杀此类病毒。

提高安全意识，不随意点击来源不明的邮件、文档、链接等，并及时为操作系统和office、IE、Flash等常用软件做好修复。

定期检测系统和软件中的安全漏洞，及时修复。

文章整合自：中国航务周刊、360安全卫士