文档被用来攻击用户的花招机器人银行木马

Watch Your谷歌Docs:程序被用来传播恶作剧机器人恶意软件

小心你收到的任何谷歌Doc电子邮件. 网络攻击者正在使用文字处理程序进行网络钓鱼诈骗,传播“恶作剧机器人”恶意软件.  

谷歌Docs恶意软件

如果你在不久的将来收到谷歌文档共享电子邮件,请格外小心 可能是钓鱼邮件.

Cofense, 专门从事网络钓鱼诈骗和数据保护的计算机和网络安全公司, 最近发现了一次新的网络攻击, 使用谷歌Docs作为它的“特洛伊木马”.”

骗局是这样的:

1. 用户收到谷歌Docs文档共享电子邮件. 这份文件看起来是合法的,确实,它 is 合法的. 当一个用户想要与另一个用户共享一个谷歌Docs文件时,谷歌Docs生成这样的电子邮件.

邮件中的文字说明:

“你收到我最近发给你的文件了吗?? 我又派他们过来了.”

2. 这封邮件还会收到一个新按钮(攻击者添加的),上面写着“在文档中打开”.这个按钮,当点击,重定向用户到一个新的谷歌文档登录页面.

3. 一旦用户到达登录页面,他们将看到一条错误消息. 这个消息是假的,说“404错误”.”

这个想法是让用户相信文档下载有一个初始错误,并让他们点击 恶意的 下载链接-一个由攻击者创建的链接.

4. 用户会点击这个链接,这实际上是恶意软件的有效载荷. 它是一种恶意软件,一旦下载就会破坏电脑.

下载链接 出现 是合法的. 事实上,它看起来像一个PDF文档,甚至有一个扩展“.Pdf“就像一个合法的文件. 攻击者利用已知的文件类型扩展在Windows中是隐藏的这一事实(作为默认度量)来设计这个扩展。. 此外, 他们使用PDF图标作为恶意软件的图标, 尽管这个程序根本不是PDF格式的.

5. 一旦文件被点击并下载, 恶意软件将开始在目标的计算机上进行肮脏的勾当. 在这种情况下, 这个恶意软件被称为“恶作剧机器人”, 它是一个非常流行和危险的银行木马.

一旦执行, TrickBot开始工作,并继续高度活跃地破坏其主机设备. 它将开始在设备上重复复制自己——每11分钟一次,持续414天. 如果允许运行,它也将开始启动越来越多的Svchost进程.

什么是TrickBot?

TrickBot是一种恶意软件,也被称为TheTrick, TrickLoader, 和骗子.

TrickBot于2016年10月被发现,并不断发展. 在过去的几年里,它不断地更新和升级,继续成为网络钓鱼诈骗的威胁.

TrickBot最初是一种银行木马, 现在仍然如此, 但它现在也有能力在任何地方投放额外的恶意软件. 作为一种银行木马, TrickBot的主要目标是获取主机设备的敏感财务信息.

基本上, 任何敏感的东西都会被TrickBot吸收,并传送回传播它的源头. 当TrickBot在你的设备上, 它可以获取你在线访问的金融机构的登录信息,并投放其他恶意软件,比如同样流行的Emotet.

TrickBot甚至可以在设备上放置勒索软件. 如果发生这种情况,敏感数据和系统访问可能会被锁定和/或阻塞. 一个消息将被发送到设备用户,他们的数据和/或系统访问权被要求赎金. 除非用户支付一大笔钱,否则他们的数据将永远丢失.

如何避免成为这个谷歌文件钓鱼诈骗和其他受害者?

网络钓鱼诈骗仍然是网络攻击者破坏文件的主要方式, 窃取信息, 和偷财政. 网络钓鱼诈骗几乎总是以电子邮件的形式出现(尽管这种诈骗也可以通过电话操作).

钓鱼邮件的目的是首先让收件人相信它是合法的. 因此, 它将出现在一个来源,如谷歌文档, 一个银行, 美国国税局, 甚至是同事. 下一步是让接收者点击一个链接, 下载一个附件, 或者再采取一次这样的行动, 这将不可避免地导致恶意软件的发布.

保护您和您的公司免受网络钓鱼诈骗的最好方法是有适当的安全软件和硬件措施. 另外, 所有员工都必须不断地接受教育,了解如何避免成为网络钓鱼骗局的受害者,以及如何避免流行的网络钓鱼攻击.