警惕！“新冠病毒”木马正向航运业发起攻击

小A

2020年，一场突如其来的新冠肺炎疫情打破了开年的平静，全民陷入漫长的抗疫鏖战之中；而就在疫情出现向好拐点态势之时，打着“新冠病毒”旗号的木马再次肆虐网络。

根据360官方消息，近日，360安全大脑就全球首家拦截到以“冠状病毒”为主题的钓鱼活动，该活动瞄准大型航运公司，定向扩散商业间谍木马“HawkEye Keylogger 10.0”，并对受害者进行监控及回传多种有价值的私密数据。

经360安全大脑溯源分析发现，该商业间谍木马“HawkEye Keylogger 10.0”又称鹰眼键盘记录器，国内外已有大批航运企业不幸感染，且该木马正向国际贸易领域快速扩散。针对此类商业间谍攻击，360安全卫士已首家支持对该木马的拦截，广大用户可及时下载安装360安全卫士进行拦截查杀。


疫情之下钓鱼邮件趁火打劫“鹰眼”间谍木马借office漏洞泛滥

从360安全大脑监测数据来看，危及大批航运企业的最新商业间谍木马“HawkEye Keylogger 10.0”，主要利用钓鱼邮件的方式传播扩散。

不法分子通过邮件将暗藏恶意代码的表格文档“CORONA VIRUS AFFECTED CREW AND VESSEL.xlsm”发送至目标人群邮箱。

而翻译成中文即为“冠状病毒影响船员和轮船航运”的文档极具诱导性。而当受害者打开恶意文档，界面会显示一个带有安全警告的宏禁用提示，再一次诱导用户点击运行。

-->

值得一提的，即使用户拒绝启用宏，不法分子仍会通过经典的office公式编辑器漏洞（CVE-2017-11882），让文档携带的恶意代码在目标电脑中自动运行。

-->

成功运行后下载解密木马核心模块“HawkEyeKeylogger”，并根据资源中的加密配置，将信息回传给远程ESMTP服务器，具体地址为“mail.novaa-ship.com”，而发送邮件所使用的账号则为“armani@novaa-ship.com”（阿玛尼）。

-->

回传信息也就是木马所窃数据，具体包括目标电脑上的账号密码、键盘记录、屏幕截图、摄像头、剪切板等，而上述信息不管是对个人还是中招企业来说，都可能造成极大的安全隐患。

-->

仿冒航运巨头企业域名不法团伙借商业间谍木马谋利

疫情之下木马趁虚作乱，而经360安全大脑研判，HawkEye Keylogger木马不仅是一款久经迭代的商业键盘记录器，网上甚至能找到公开销售该木马的主页。

同时从360安全大脑追踪数据来看，目前市面上传播的多为“HKRv9”版，此次360安全大脑首家捕获的样本，其配置资源中标注的则是10.0，也就是说捕获版本极可能是该木马的最新版本。

-->

与此同时，360安全大脑在分析钓鱼文件名及其配置资源中发现，钓鱼域名重点仿冒新加坡Nova集团船运公司官方域名，通过在“nova”域名后增加字母 “a”的方式迷惑目标，由此可推断此次攻击主要针对的是航运贸易行业。

-->

随后，360安全大脑根据木马配置中使用的回传邮箱账号，进一步找到该邮箱服务器的一个后台，该邮箱数据虽显示为空，但通过邮箱转发规则锁定了不法分子转移数据的接收者邮箱。原来，不法分子为躲避追踪，对窃取数据进行了二次转移，360安全大脑发现了如下3个转移数据接收者邮箱。

-->

拦截邮箱后，360安全大脑捕获到了不法分子从受害者电脑陆续回传的数据，正如360安全大脑分析的那样，涉及了受害者多种私密账号密码和全部键盘记录等内容，并且在一受害者所被窃取的键盘输入数据中，发现受害者的office办公软件中涉及 “船务代理”等商业信息，悉数被木马回传至不法分子服务器，这无疑将危及企业商业运营。

-->

在追踪到不法分子邮箱服务器后台后，360安全大脑发现此次商业窃密木马为团伙作案，并从追踪到的通信地址信息来看，该团伙有着明确的业务分工体系。

-->

染指航运后蔓延贸易领域360安全大脑全球首家拦截查杀

相较于不法分子的单独作案，商业间谍木马的团伙作案方式意味着更高的威胁。360安全大脑根据C&C域名溯源同类样本后也印证了这一点，目前此次商业间谍木马钓鱼活动不仅殃及航运业，且正快速向国际贸易领域扩散。

-->

360安全专家通过whois查询通讯录邮箱域名时发现，全球范围内发生的多起同类事件均为同一个匿名实体注册，通过隐私保护设置与DNS解析地址也进一步确认，多起事件均出自同一团伙之手。

-->

必须注意的是，在间谍木马之外，360安全大脑还在邮箱服务器中，发现了与知名间谍木马“AgentTesla”存在关联的邮箱（“ViFeki3@yandex.com”），结合两款木马的性质、攻击手法等特征，推断二者之间具有一定的相关性和同源性。也就是说，此轮借新冠肺炎疫情的钓鱼活动，不仅是团伙作案，还极可能存在多个间谍木马同时扩散的情况。

-->

最后，在全民阻击新冠肺炎疫情的攻坚期，不法分子借“新冠病毒”诱饵文件散播间谍木马，不仅为“远程办公”下的白领们埋下了随时暴雷的安全隐患，更令无数齐心战“疫”的个人用户和企业机构陷入无尽的安全风险。


因此，针对此次以疫情为诱饵的商业间谍木马，360安全大脑特别建议广大用户做好以下防护措施，保护抗疫期间的电脑及财产安全：

1、及时前往weishi.360.cn，下载安装360安全卫士，强力查杀此类病毒木马;

2、提高安全意识，切勿随意点击来源不明的邮件、文档、链接等；

3、定期检测系统和office、IE、Flash等常用软件中的安全漏洞，及时打上补丁。

-->

来源：360安全官方账号