釣魚(yú)軟件 200 美元/套，黑帽黑客靠疫情發(fā)大財(cái)

編者按：本文來(lái)自微信公眾號(hào)“HyperAI超神經(jīng)”（ID:HyperAI），作者：神經(jīng)小兮，36氪經(jīng)授權(quán)發(fā)布。

內(nèi)容提要：一邊是新冠病毒在全球肆虐，一邊卻是計(jì)算機(jī)病毒在趁亂作惡。對(duì)普通人來(lái)說(shuō)，新冠疫情是場(chǎng)災(zāi)難，而對(duì)于黑客們來(lái)說(shuō)，卻是一次千載難逢的播撒病毒的好機(jī)會(huì)。

關(guān)鍵詞：黑客網(wǎng)絡(luò)攻擊竊取數(shù)據(jù)

新型冠狀病毒在全球傳播令人擔(dān)憂，而黑客們卻暗自欣喜，開(kāi)始了一場(chǎng)「狂歡」。

他們正在利用人們的對(duì)新冠病毒的恐懼心理瘋狂作案。比如，電子郵件，App，傳播惡意軟件，從而詐騙錢(qián)財(cái)與信息。

疫情嚴(yán)重的國(guó)家如意大利、美國(guó)等，都成為黑客借勢(shì)攻擊的頭號(hào)目標(biāo)。

WHO、CDC 遭受平日 2 倍網(wǎng)絡(luò)攻擊

在過(guò)去幾天中，以 COVID-19 為主題的多個(gè)網(wǎng)絡(luò)攻擊和惡意軟件已席卷全球。

這段時(shí)期，備受關(guān)注的世界衛(wèi)生組織（WHO）、美國(guó)疾病控制和預(yù)防中心（CDC）等權(quán)威衛(wèi)生機(jī)構(gòu)首當(dāng)其沖，成了黑客們的重點(diǎn)攻擊對(duì)象。

世界衛(wèi)生組織（WHO 官方網(wǎng)站）近年多次遭黑客組織入侵

據(jù)路透社報(bào)道，本月早些時(shí)候，黑客試圖入侵 WHO。雖然沒(méi)有成功入侵，但 WHO 表示，他們所遭到的網(wǎng)絡(luò)攻擊較以往增加了一倍，包括試圖模仿 WHO 內(nèi)部電子郵件系統(tǒng)，以獲取職員密碼。

騰訊安全威脅情報(bào)中心也于近期檢測(cè)到，黑客偽造 CDC 為發(fā)件人，投遞附帶 Office 公式編輯器漏洞的文檔至目標(biāo)用戶郵箱，收件人在存在 Office 公式編輯器漏洞（CVE-2017-11882）的電腦上打開(kāi)文檔，就可能觸發(fā)漏洞下載商業(yè)遠(yuǎn)控木馬 Warzone RAT。

劃重點(diǎn)：警惕三類(lèi)網(wǎng)絡(luò)攻擊套路

目前，利用 COVID-19 進(jìn)行網(wǎng)絡(luò)攻擊的行為，主要可分為以下三類(lèi)：

1. 網(wǎng)絡(luò)釣魚(yú)電子郵件

網(wǎng)絡(luò)釣魚(yú)是最常見(jiàn)的攻擊技術(shù)之一。今年 1 月新冠肺炎確診病例開(kāi)始增加后，幾乎同時(shí)就出現(xiàn)了使用 COVID-19 相關(guān)誘導(dǎo)性標(biāo)題的郵件釣魚(yú)活動(dòng)。

WHO 和CDC 等衛(wèi)生組織已成為主要目標(biāo)，他們已經(jīng)觀察到攻擊者使用重要安全文件或感染地圖為誘餌，誘騙用戶點(diǎn)擊 URL 或下載文件。

今年 2 月，一個(gè)用戶在著名的俄語(yǔ)網(wǎng)絡(luò)犯罪論壇 XSS 上發(fā)起了一個(gè)主題，宣傳一種新的以 COVID-19 為主題的網(wǎng)絡(luò)釣魚(yú)套路。

這些電子郵件的主題包括特定行業(yè)的分析報(bào)告和官方的政府健康建議的詳細(xì)信息，以及在此期間提供口罩或其他有關(guān)運(yùn)營(yíng)和物流信息的賣(mài)方。

XSS 發(fā)布與 COVID-19 相關(guān)的網(wǎng)絡(luò)釣魚(yú)詐騙方案

聲稱(chēng)可偽裝為病毒熱力圖來(lái)發(fā)送惡意軟件

釣魚(yú)方案則是通過(guò)偽裝成病毒爆發(fā)分布圖的電子郵件附件，來(lái)傳播惡意軟件，附件中包含來(lái)自 WHO 的實(shí)時(shí)數(shù)據(jù)。該地圖本身是由約翰·霍普金斯大學(xué)系統(tǒng)科學(xué)與工程中心（CSSE）創(chuàng)建的合法地圖的模仿。

該方案定價(jià)為 200 美元，如果買(mǎi)家還需要 Java CodeSign 證書(shū)，則價(jià)格為 700 美元。

另一種網(wǎng)絡(luò)釣魚(yú)騙局則是冒充 WHO 的官方電子郵件。

這封電子郵件包含一個(gè)鏈接，指向據(jù)稱(chēng)是有關(guān)防止病毒傳播的文件，但受害者點(diǎn)擊之后，會(huì)轉(zhuǎn)至一個(gè)試圖獲取證書(shū)的惡意域名。

冒充世界衛(wèi)生組織的網(wǎng)絡(luò)釣魚(yú)騙局

這類(lèi)郵件通常會(huì)包含幾個(gè)語(yǔ)法和格式錯(cuò)誤，攻擊者可以利用這些錯(cuò)誤來(lái)縮小受害者范圍，并繞過(guò)垃圾郵件過(guò)濾器。

2.惡意應(yīng)用

盡管蘋(píng)果已在其 App Store 中限制了與 COVID-19 相關(guān)的應(yīng)用程序，Google 也已從 Play 商店中刪除了一些相關(guān)應(yīng)用程序，但惡意應(yīng)用程序仍然防不勝防。

美國(guó)域名主機(jī)網(wǎng)站 DomainTools 發(fā)現(xiàn)了一個(gè)網(wǎng)站，該網(wǎng)站敦促用戶下載一個(gè) Android 應(yīng)用程序，該應(yīng)用程序提供有關(guān) COVID-19 的跟蹤和統(tǒng)計(jì)信息，包括感染熱力圖。但是，該應(yīng)用程序?qū)嶋H上裝有以 Android 為目標(biāo)的勒索軟件，現(xiàn)在稱(chēng)為 COVIDLock。

COVIDLock 以 Android 設(shè)備為目標(biāo)

鎖定屏幕并勒索以換取解鎖，圖為該軟件的贖金通知書(shū)

該軟件的贖金通知書(shū)要求，在 48 小時(shí)內(nèi)支付 100 美元的比特幣，并威脅要?jiǎng)h除受害者的聯(lián)系人、圖片和視頻以及手機(jī)的內(nèi)存。

DomainTools 報(bào)告說(shuō)，與 COVIDLock 相關(guān)的域以前被用于分發(fā)色情相關(guān)的惡意軟件。

3. 不安全的終端

由于目前大量員工都在遠(yuǎn)程工作，圍繞端點(diǎn)和使用端點(diǎn)的人員的風(fēng)險(xiǎn)會(huì)增加。

如果員工不定期更新他們的系統(tǒng)，員工在家里使用的設(shè)備可能會(huì)變得更容易受到攻擊。

長(zhǎng)時(shí)間在家辦公也可能鼓勵(lì)用戶將影子應(yīng)用程序下載到設(shè)備上，或者會(huì)忽略他們?cè)谵k公室通常遵循的安全政策。

而一些選擇在咖啡館里工作的人，可能仍然容易受到盜竊、設(shè)備丟失或中間人攻擊的影響。

WHO 攻略：如何防范網(wǎng)絡(luò)釣魚(yú)？

對(duì)于種種網(wǎng)絡(luò)攻擊手段，WHO 已經(jīng)及時(shí)向廣大用戶發(fā)布了相關(guān)防范方法。

WHO 提醒，網(wǎng)絡(luò)詐騙會(huì)通過(guò)WhatsApp

來(lái)誘騙點(diǎn)擊惡意鏈接或打開(kāi)附件

世衛(wèi)組織目前發(fā)出的唯一捐款呼吁是 COVID-19 團(tuán)結(jié)應(yīng)急基金（COVID-19 Solidarity Response Fund），其鏈接如下：

https://www.who.int/emergencies/diseases/novel-coronavirus-2019/donate。

因此，任何其他來(lái)自世衛(wèi)組織的資金或捐款，都是騙局！

此外，針對(duì)利用 COVID-19 緊急情況發(fā)送的網(wǎng)絡(luò)釣友郵件，WHO 也給出了詳細(xì)的防范建議：

警惕提供敏感信息，如用戶名或密碼

點(diǎn)擊鏈接前，謹(jǐn)慎審核域名；

打開(kāi)郵件附件前，謹(jǐn)慎審核發(fā)件人郵箱。