详细内容或原文请订阅后点击阅览
我们开了一张假发票,掉进了一个复古的XWorm形状的虫洞
在 2025 年,收到 .vbs“发票”就像在邮箱中找到软盘一样。它很复古、可疑,而且绝对不是你应该运行的东西。
来源:Malwarebytes Labs 博客有人转发了一封“发票”电子邮件并要求我检查附件,因为它看起来很可疑。良好的直觉——确实如此,我们在里面发现的是一个令人惊讶的古老伎俩,隐藏着现代威胁。
它的作用
如果收件人打开了附加的 Visual Basic 脚本 (.vbs) 文件,它就会悄悄安装一个名为 Backdoor.XWorm 的远程访问特洛伊木马。一旦活跃,它可能会让攻击者:
.vbs
- 窃取文件、密码和其他个人数据记录击键监视用户安装其他恶意软件,包括勒索软件
一切都悄无声息地发生,没有警报或窗口。它旨在避开防病毒工具并交出对 PC 的完全控制权。
“您好,请参阅附件中我们已处理的发票清单,并且截至 2025 年 8 月 1 日凌晨 2:45:06 已付款。请检查并确认您已收到这些发票。此外,如果您能向我们发送任何未付或未付发票的更新清单以供我们记录,我们将不胜感激。期待您的回复。此致,客户主任”
“嗨,
请参阅随附的截至 2025 年 8 月 1 日凌晨 2:45:06 时我们已处理并已付款的发票清单
请检查并确认您已收到这些内容。
此外,如果您能够向我们发送任何未清或未付发票的更新列表以供我们记录,我们将不胜感激。
期待您的回复。
最诚挚的问候,
客户主管”
后门.XWorm为什么这封电子邮件可疑
电子邮件本身有明显的警告信号:没有名字,只有一个通用的“嗨”和一个模糊的“客户官员”签名。真实的发票或付款通知几乎总是包含联系方式,因此仅此一项就应该引起怀疑。
如今,几乎每家公司都完全阻止 .vbs 附件,因为它们可以在您打开附件时执行代码。
如何保持安全
仔细检查意外附件.exe
.bat
.scr
电子邮件
VBS
1