聲明：該文章由作者（王伍福）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

微軟安全情報(bào)團(tuán)隊(duì)剛剛在一連串的推文中發(fā)出了警示，提醒惡意軟件制作者正在積極準(zhǔn)備滲透航空業(yè)。近段時(shí)間，基于網(wǎng)絡(luò)釣魚的電子郵件活動(dòng)有在持續(xù)發(fā)生。如果不幸中招，惡意軟件會(huì)積極分發(fā)加載程序，然后敞開遠(yuǎn)程木馬訪問的后門。以近日常見的“空客全球研討會(huì)”釣魚郵件為例，其攻擊者試圖打著合法組織的名義來招搖撞騙。

對(duì)于從事航空、旅行、貨運(yùn)相關(guān)行業(yè)的人們來說，還請對(duì)此類郵件附件保持高度警惕。

偽造的 PDF 文件圖像，包含了一個(gè)嵌入式的鏈接（通?；诤戏?Web 服務(wù)的濫用）。攻擊者會(huì)利用該鏈接來下載惡意 VBScript 腳本，以加載遠(yuǎn)程訪問用的特洛伊木馬。

用于初始感染的 VBS 文件（圖 via Hossein Jazi）

之后，木馬會(huì)下載惡意軟件所需的其它模塊，將代碼注入 RegAsm、InstallUtil 或 RevSvcs 之類的進(jìn)程中，最終將竊取的登錄憑據(jù)、屏幕截圖、網(wǎng)絡(luò)攝像頭、瀏覽器、剪貼板、以及系統(tǒng)和網(wǎng)絡(luò)等數(shù)據(jù)，上傳至攻擊者的指定的服務(wù)器。

Snip3 攻擊流程圖（圖自 Morphisec）

微軟敦促受影響的行業(yè)從業(yè)者們主動(dòng)驗(yàn)證其是否受到了此類攻擊，并且分享了可在生產(chǎn)環(huán)境中查找類似惡意軟件活動(dòng)的高級(jí)查詢工具。有需要的 IT 管理員，可移步至?GitHub?了解詳情。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場：https://www.ijiandao.com/