领取了“年终补贴”,为什么钱却进了别人的口袋?
辛辛苦苦一整年
突然发现邮箱弹出“年终补贴”
满怀激动地打开附件
却不知
早已被一场巨大的阴谋笼罩其中
近日,亚信安全监测到多起钓鱼邮件传播木马病毒事件,受害者会收到一封诱惑满满的邮件,标题多为“年终补贴”、“工作补助”,压缩包附件内存储着伪装成Word文档的可执行程序,诱导受害者运行后,会通过一系列操作从受害者的设备中窃取敏感信息,包括应用凭据、键盘记录、屏幕截图和剪贴板数据,令受害者损失惨重。
这背后,正是“恶名远扬的“Snake Keylogger”在作怪......
何为Snake Keylogger
“科技+狠活”,高度概括了Snake Keylogger的成长之路。
作为信息窃取届的扛把子,Snake Keylogger 一年时间扬名发家,还在不断发展:
成长快:最早出现在2020年末,2021年中旬,不到一年便进入十大大流行恶意软件排行榜。
常活跃:一直处于活跃状态,每日仍在新增恶意样本。
引潮流:Snake Keylogger 攻击的形式是一成不变的钓鱼邮件,但在攻击技术上一直紧跟时代"潮流",从VBA宏直接调用PowerShell下载病毒母体,到利用多个漏洞下载经过多层混淆的病毒母体。
多手段:每一次的进化都在尝试使用各类手段逃避各个安全厂商的静态查杀引擎。
恶意满满地攻击流程
该木马病毒在初始进入阶段,会通过钓鱼邮件内容引导受害者打开附件中的恶意Excel文件,欺骗受害者开启宏功能后,下载并执行远程窃密恶意样本;
或者在钓鱼邮件内容中引导受害者打开PDF文件,然后提醒受害者打开一个"经过验证的"的docx文件,启动RTF后执行窃密恶意样本。
亚信安全
产品解决方案
●
亚信安全病毒码版本18.169.60,云病毒码版本18.169.71,全球码版本18.169.00 可对该家族进行检测;
●
亚信安全梦蝶云病毒码可对该家族进行检测;
●
亚信安全DDAN沙盒平台可以有效检测出该家族样本的恶意行为。
亚信安全提醒
这些安全建议要牢记
全面部署安全产品,保持相关组件及时更新。
不要点击来源不明的邮件以及附件。
当遇到需要启用宏功能的文档时需要注意,对未知文档请不要启用该功能。
保持系统以及常见软件更新,对高危漏洞及时修补。
定期更改各类账号密码,尽量避免使用浏览器存储重点网站登录账户密码。
