Excel 被用作網路釣魚者的新鮮誘餌 - 方法如下。

Evil Corp 找到了一種新方法來釣魚受害者——使用 Microsoft Excel 文檔。

網絡犯罪組織，也稱為 TA505 和 SectorJo4，是出於經濟動機的網絡犯罪分子。 他們以使用 Necurs 殭屍網絡針對零售公司和金融機構發起大規模惡意垃圾郵件活動而聞名； 但現在，他們採用了一種新技術。

在他們最新的騙局中，他們發送的附件包含帶有惡意 Excel 文檔的 HTML 重定向器。 通過這些鏈接，他們正在分發遠程訪問木馬（老鼠），以及 惡意軟件下載器 交付了 Dridex 和 Trick 銀行木馬。 這還包括 Locky、BitPaymer、Philadelphia、GlobeImposter、Jaff 勒索軟件株。

“新活動使用附加到電子郵件的 HTML 重定向器。 打開時，HTML 會導致下載 Dudear，這是一個包含惡意宏的 Excel 文件，會丟棄有效負載，”

“相比之下，過去的 Dudear 電子郵件活動將惡意軟件作為附件攜帶或使用惡意 URL。” -微軟安全情報的研究人員。

在一些最大的惡意軟件活動中使用的Dudear（又名TA505 / SectorJ04 / Evil Corp）在短暫的中斷後於本月恢復運行。 雖然我們看到了一些策略上的變化，但復活的Dudear仍然嘗試部署竊取信息的Trojan GraceWire。

— 微軟威脅情報 (@MsftSecIntel) 2020 年 1 月 30 日

打開 HTML 附件後，受害者會自動下載 Excel 文件。 一旦他們打開它，這就是他們遇到的：

一旦目標按照文檔中的指示單擊“啟用編輯”，他們就會在他們的系統上釋放惡意軟件。

在此之後，他們的設備也將感染 IP 追溯服務，該服務“跟踪下載惡意 Excel 文件的機器的 IP 地址”。

威脅分析報告 (Microsoft微軟)

除此之外，該惡意軟件還包括 GraceWire——一種信息竊取木馬，它收集敏感信息並通過命令和控制服務器將其轉發回犯罪者。

查看入侵指標 (IOC) 的完整列表，包括活動中使用的惡意軟件樣本的 SHA-256 哈希值， 請點擊這裡 和 請點擊這裡.

資源： bleepingcomputer