年1月29日,奇安信发布紧急病*通报,奇安信病*响应中心和奇安信CERT的技术人员发现多起利用新型冠状病*肺炎疫情相关热词开展的攻击行动。他们监测到一些黑客组织正在制造并大肆传播一系列电脑版病*,这些病*均带有“冠状病*”、“疫情”、“武汉”等热门字样的,这些病*可导致电脑声音被窃听,文件被窃取,一些版本的病*还会删除操作系统核心文件导致无法开机。目前,该系列病*正通过社交网络悄然蔓延、肆意传播。
奇安信网络安全工程师详细介绍了三类具有典型意义的“新型冠状病*”:
“新冠病*”一:远程控制窃取文件
网络安全工程师分析发现,该系列中一款被黑客组织命名为“冠状病*”的电脑病*,释放并启动了正规的商业远程控制软件TeamViewer,因此躲避了市面上绝大多数杀*软件的查杀。通过获取窗口的账号和口令,发送到黑客服务器,从而达成远程控制的目的。
该病*完全继承了TeamViewer强大的远程控制能力。该病*可突破绝大多数防火墙到达内部网络,可在后台悄悄控制键盘、鼠标、监视电脑屏幕、窃听电脑声音,观看视频以及发送电脑上的任意文件,甚至可实现远程开关机。
“新冠病*”二:删除文件电脑变砖
除了常规网络攻击,该系列病*中还有一些会发动更加恶劣的攻击行为。比如一款名为“冠状病*.exe”的可执行文件,启动之后其会删除所有注册表,以及C、D盘文件,这将导致电脑无法开机,重要数据丢失。
“新冠病*”三:黑产不休变招作祟
“除此之外,在我们监控的黑产团伙‘金X狗’中也发现了利用新冠肺炎作为诱饵的样本”,奇安信威胁情报中心负责人汪列*介绍,此前奇安信威胁情报中心独家披露的零零狗黑客团伙也参与了此次攻击行动。经过分析,类似攻击手段曾被用在利用裸贷照片病*的攻击活动。
通过热点事件、热门词汇制造“诱饵”,并以此发起攻击是黑客组织的惯用伎俩。奇安信CERT的安全团队在监测中发现,社交网络成为该病*传播的主要渠道,该黑产团伙使用的病*会伪装成“冠状病*”、“逃离武汉”“双重预防机制”、“新型冠状病*预防通知”等诱饵词汇,利用人们高度