黑客利用虚假的亚马逊订单确认邮件来传播Emotet木马

黑客利用虚假的亚马逊订单确认邮件来传播Emotet木马

网络钓鱼和垃圾邮件活动在假期中处于高潮状态,年末的节假日格外的多,人们在网上买买买的理由也格外的多,因此攻击者正在创建虚假的亚马逊订单确认电子邮件来欺骗用户并分发Emotet银行木马。

Emotet是什么?

Emotet是一种银行木马,因其模块化架构以及蠕虫式自主传播而臭名昭著。它通过垃圾邮件活动中附带的各种看似合法的恶意附件进行分发。最近Emotet更新了一个新的电子邮件内容收集模块,用于收集受感染系统的电子邮件。该木马通常也会与其它木马捆绑在一起,这样破坏力更大。Emotet恶意软件还可以窃取专有信息、登录凭证和个人身份信息(PII),这是身份盗窃事件背后的主要原因。此外,Emotet也被认为是其他可能更有害的后续恶意软件有效负载的木马程序或下载器。由于其破坏潜力大,Emotet成为2018年7月美国CERT 安全通知的主题。

在电子邮件安全公司EdgeWave发现的一个新的垃圾邮件活动中,攻击者发送的电子邮件伪装成非常有说服力的亚马逊订单确认邮件。这些邮件的主题不尽相同,包括“您的亚马逊订单”、“亚马逊订单详情”以及“您的订单162-2672000-0034071已发货”。

当受害者打开这些电子邮件时,系统会显示一份订单确认信息,上面说购买的商品已发货,但没有任何有关购买商品或物流信息的详细信息。然后告诉收件人点击“订单详细信息”按钮以查看更多信息。

黑客利用虚假的亚马逊订单确认邮件来传播Emotet木马

假亚马逊订单确认邮件

收件人点击此按钮后,会下载一个名为order_details.doc的 Word文档。打开此文件,它要求收件人启用内容才能查看,如下所示。

黑客利用虚假的亚马逊订单确认邮件来传播Emotet木马

恶意Word文档

如果收件人单击“启用内容”按钮,就会触发执行PowerShell命令的宏,该命令会在受害者的计算机上下载并执行Emotet银行特洛伊木马。在这里,木马的名称是mergedboost.exe,但是当EdgeWave研究人员测试恶意文档时,当时Emotet木马名为Keyandsymbol.exe。

黑客利用虚假的亚马逊订单确认邮件来传播Emotet木马

Emotet正在下载

下载完成后,此特洛伊木马将在后台静默运行,同时记录击键、窃取帐户信息以及在计算机上执行其他有害行动。

EdgeWave研究人员表示,该活动利用位于哥伦比亚、印度尼西亚和美国的受感染服务器。

“有趣的是,其他服务器位于休士顿和兰辛。我们还发现了一个受感染的电子邮件服务器发送网络钓鱼邮件,其中包含指向印度尼西亚服务器的链接,该服务器下载恶意软件,然后与美国受感染的服务器联系。毕竟攻击者不放假!”

由于收件人容易陷入此骗局,因此在打开任何文档或电子邮件之前,用户必须先确认是谁发得邮件。在假期期间尤其如此,因为通常会收到来自在线供应商的大量电子邮件。

在接收电子邮件时,重要的是要检查它来自何处以及看起来是否可疑。如果收到类似的邮件直接删除,因为您可以登录相关网站查看订单状态。在这种情况下,虽然电子邮件本身看起来与亚马逊订单确认相同,但它的电子邮件地址是可疑的。只这一点就足够你删除这封邮件的了。

互联网在任何时候都是一个可怕的地方,在假期期间更是如此,所以请务必小心。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133679.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code