有研究员发现了对不同国家/地区组织的一系列攻击。截至2020年5月上旬,日本,意大利,德国和英国已出现针对性的攻击案例。多达50%的攻击目标是各个工业部门的组织,攻击受害者包括工业企业的设备和软件供应商,攻击者使用恶意的Microsoft Office文档,PowerShell脚本以及各种使难以检测和分析恶意软件的技术。
网络钓鱼电子邮件(用作初始攻击媒介)是使用每个特定国家/地区的语言使用文本自定义的。仅当操作系统的本地化与网络钓鱼电子邮件中使用的语言匹配时,此攻击中使用的恶意软件才会继续运行。例如,在攻击在日本运营的公司的情况下,网络钓鱼电子邮件的文本和包含恶意宏的Microsoft Office文档都是用日语编写的。此外,要成功解密恶意软件模块,操作系统还必须具有日语本地化版本。
攻击成功后,会在受害者计算机上安装Bebloh家族(Shiotob,URLZone)和Ursnif家族(Gozi,ISFB)的银行木马。
0x01 技术分析
攻击者向受害者发送网络钓鱼电子邮件,奇热电子邮件中包含打开附件的紧急请求语句。
电子邮件附带的Excel文档包含恶意宏脚本(Trojan.MSExcel.Agent.be)。打开文档后,用户会看到一条消息,其中要求启用文档的活动内容。如果用户打开文档,则执行恶意宏文件。
宏文件的