黑客正以新冠疫情热门词汇为诱饵发动网络攻击
中国青年报客户端讯1月29日,奇安信病毒响应中心和奇安信CERT的技术人员发现多起利用新型冠状病毒肺炎疫情相关热词开展的攻击行动。他们监测到一些黑客组织正在制造并大肆传播一系列电脑版病毒,这些病毒均带有“冠状病毒”“疫情”“武汉”等热门字样,可导致电脑声音被窃听,文件被窃取,一些版本的病毒还会删除操作系统核心文件导致无法开机。目前,该系列病毒正通过社交网络悄然蔓延、肆意传播。
三类具有典型意义的“新型冠状病毒”如下:
“新冠病毒”一:远程控制窃取文件
网络安全工程师分析发现,该系列中一款被黑客组织命名为“冠状病毒”的电脑病毒,释放并启动了正规的商业远程控制软件TeamViewer,因此躲避了市面上绝大多数杀毒软件的查杀。通过获取窗口的账号和口令,发送到黑客服务器,从而达成远程控制的目的。
该病毒完全继承了TeamViewer强大的远程控制能力,可突破绝大多数防火墙到达内部网络,可在后台悄悄控制键盘、鼠标、监视电脑屏幕、窃听电脑声音,观看视频以及发送电脑上的任意文件,甚至可实现远程开关机。
“新冠病毒”二:删除文件 电脑变砖
除了常规网络攻击,该系列病毒中还有一些会发动更加恶劣的攻击行为。比如一款名为“冠状病毒。exe”的可执行文件,启动之后其会删除所有注册表,以及C、D盘文件,这将导致电脑无法开机,重要数据丢失。
“新冠病毒”三:黑产不休 变招作祟
“除此之外,在我们监控的黑产团伙‘金X狗’中也发现了利用新冠肺炎作为诱饵的样本”,奇安信威胁情报中心负责人汪列军介绍,此前该中心披露的零零狗黑客团伙也参与了此次攻击行动。经过分析,类似攻击手段曾被用在利用裸贷照片病毒的攻击活动中。
通过热点事件、热门词汇制造“诱饵”,并以此发起攻击是黑客组织的惯用伎俩。奇安信CERT的安全团队在监测中发现,社交网络成为该病毒传播的主要渠道,该黑产团伙使用的病毒会伪装成“冠状病毒”“逃离武汉”“双重预防机制”“新型冠状病毒预防通知”等诱饵词汇,利用人们高度关注、渴求获得相关信息的心理,诱导电脑用户下载并将其打开。
汪列军指出,这个春节假期,为了防控疫情蔓延,全国各地均采取了劝阻公众出行、走访、聚会、旅游等易导致人群聚集的活动,绝大多数人员长时间在家驻留,直接引发手机、电脑的使用率大大提升,邮件、社交媒体或将继续成为高频的攻击途径。汪列军建议,为了用户的安全,收到带有高频词汇的exe,csr等可执行文件,未知来源的带宏docx、rtf、doc等文档,zip、rar等格式的压缩包内嵌不明文件时,切勿双击启动。