网络犯罪者假借迪拜、巴林岛、土耳其、加拿大执法机构官员的名义发送恐怖袭击警报邮件,实质上这些邮件是暗藏Sockrat后门的钓鱼邮件。
本月早些时候,赛门铁克发现恶意邮件冒用阿拉伯联合酋长国执法部门(尤其是迪拜警方)的邮件地址发送鱼叉式钓鱼邮件。这些钓鱼邮件伪装成迪拜警方发出的警告邮件,借着人们对恐怖袭击事件恐惧的弱点,诱骗用户点开恶意附件。附件伪装是提供一些有价值的安全建议,以帮助收件人在遭遇恐怖袭击时更好的保护好他们自己、保护他们的公司和他们的家庭。
为了增加邮件的可信度,网络犯罪者在邮件的最下方以迪拜现任警察局中将(同时也是迪拜酋长国安全负责人)的名字签名。
邮件中有两个附件:一个是PDF文件,该文件并没有什么恶意程序,纯粹是一个诱饵文件;另一个是.jar格式的压缩文件,里面含有恶意程序。对这个恶意程序的进一步研究确认,恶意活动背后的网络犯罪者使用的是一个叫做Jsocket( Backdoor.Sockrat)多平台远程访问木马。该木马是从AlienSpy RAT木马中新衍生出来的一个版本,而AlienSpy RAT早在今年初的时候就已经停止使用了。
毫无规律可言的攻击目标
网络犯罪者发动此次攻击活动主要针对的是UAE国家的公司和员工,另外我们还在其他3个国家发现了类似的鱼叉式钓鱼攻击:巴林岛、土耳其、加拿大。和迪拜的模式一样,他们会在邮件下面是用现任执法机构官员的名称作为签名,以使受害者相信邮件是真实的,而且也声称附件是提供防护的方法。
很有趣的是,尽管这些邮件都不是用各国自己官方语言书写的,但是邮件还是十分的狡猾。所有网络犯罪者计划中使用的官员当下都是在职的。而且大部分情况下,邮件主题中显示的员工名称都在目标公司中工作。所有的细节都暗示着,网络犯罪者在发送钓鱼邮件时应该事先做过调查研究。
赛门铁克确定这以攻击活动将目标锁定在了中东和加拿大的一些大公司,并没有针对特定某一行业,目前发现被攻击的行业有:能源、国防承包商、金融、政府、市场和IT。
解决方法
用户应当时刻保持警惕,当心一些社工技巧,保护用户数据安全。还有一些具体的方法如下:
1.不要打开可疑邮件中的附件和链接
2.在回复邮件时避免留下个人信息
3.不要在弹出的对话框或者屏幕中输入个人信息
4.及时更新安全软件
5.如果不能确定邮件的合法性,及时联系IT部门
