详细内容或原文请订阅后点击阅览
“您的货物已到达”电子邮件隐藏远程访问软件
这封以 DHL 为主题的电子邮件试图让收件人安装远程访问软件,攻击者可利用该软件部署更多恶意软件,包括勒索软件。
来源:Malwarebytes Labs 博客冒充 DHL 货件的电子邮件中的附件包含指向预配置 SimpleHelp 远程访问工具的链接,这是攻击者探索网络、窃取数据和投放其他恶意软件的理想起点。
一家德国工业备件和设备供应商收到一封冒充来自 DHL 的电子邮件,声称货物已到达。
鉴于他们的业务范围,我想他们一直都会收到此类电子邮件。但有一些细节值得注意:
虽然远程内容托管在通常用于在 Yahoo Mail 中提供图像和其他内容的合法 Yahoo 网页上,但这并不是 DHL 通常使用的内容。
附件是一个名为 AWB-Doc0921.pdf 的 PDF 文件,只是一个带有 Microsoft 品牌按钮的模糊图像,提示受害者“继续”访问安全文件。
实际上,单击该按钮会从 longhungphatlogistics[.]vn 域下载名为 AWB-Doc0921.scr 的文件,该域属于一家越南物流公司,该公司可能已受到恶意软件托管。
.scr 文件是一个 Windows 文件,它是一个用于启动屏幕保护程序的可执行 (.exe) 文件。它们通常用于隐藏恶意代码,因为 Windows 信任它们,允许它们绕过某些安全层。
在本例中,该文件是由 SimpleHelp 签名的远程访问工具的修改安装程序。
SimpleHelp 是一个远程支持以及远程监控和管理 (RMM) 平台。它允许远程桌面控制、文件传输、诊断和无人值守访问。如果落入坏人之手,这实际上是一个支持式后门。攻击者可以利用它进行侦察、凭证盗窃、横向移动、防御规避以及进一步传播恶意软件,包括勒索软件。我们以前见过 SimpleHelp 以这种方式被滥用。
如何保持安全
免费试用 →