微软17年“高龄”漏洞遭利用:钓鱼攻击150万外贸工作者

2017-12-07 来源:原创 作者:腾讯电脑管家
【文章摘要】12月5号,腾讯安全御见情报中心发出预警:一款针对外贸行业的“商贸信“病毒,利用微软漏洞将Word文档伪装成采购清单、帐单等文件,通过邮件在全球外贸行业内大量传播,仅一天时间就有约10万国内用户收到此类钓鱼邮件,主要集中在台湾、长三角、珠三角等外贸行业相对发达的地区。一旦用户不慎下载钓鱼邮件的有毒附件文档,个人上百种账号及敏感信息将被偷窃,造成经济损失;同时,中毒用户还将在不法分子的操控下,发起DDoS攻击,影响更多网民。

外贸行业用以交流商务信息的“商贸信”正在被不法分子大肆“投毒”。12月5号,腾讯安全御见情报中心发出预警:一款针对外贸行业的“商贸信“病毒,利用微软漏洞将Word文档伪装成采购清单、帐单等文件,通过邮件在全球外贸行业内大量传播,仅一天时间就有约10万国内用户收到此类钓鱼邮件,主要集中在台湾、长三角、珠三角等外贸行业相对发达的地区。一旦用户不慎下载钓鱼邮件的有毒附件文档,个人上百种账号及敏感信息将被偷窃,造成经济损失;同时,中毒用户还将在不法分子的操控下,发起DDoS攻击,影响更多网民。

目前,腾讯电脑管家已全面拦截此类漏洞攻击。腾讯电脑管家安全专家、腾讯安全联合实验室反病毒实验室负责人马劲松建议广大用户,对于来历不明的邮件,勿随意点击其中的超链接及附件,应及时修补系统和Office相关漏洞,以防不法黑客攻击。

(腾讯电脑管家拦截漏洞攻击)

鱼叉攻击精准“部署”外贸行业  全球约150万用户受影响

根据腾讯安全御见情报中心监测发现,“商贸信”诱饵文档内的恶意代码一旦被触发,就会自动从攻击者的云端下载远控木马,进而窃取比特币、银行卡、邮箱、社交软件等上百种帐号及敏感信息,使受害者蒙受经济损失。同时该木马还带DDoS功能,对其他的网络目标发起攻击。

从“商贸信”攻击对象来看,大多数为外贸从业人员。不法分子将有毒文件重命名为PI.doc、PurchaseOrder.doc等帐单、订单文件,并通过相应帐单、订单等邮件内容诱导收件人打开查看。腾讯安全御见情报中心监测报告称,“对于外贸从业人员收到订单邮件是常态,如果邮件正文搭配极具说服力的内容,很多收到邮件的业务人员都会下载查阅附件。”


(“商贸信”病毒攻击流程)

最近2天,不法黑客向全球150万外贸从业者发送了钓鱼邮件。其中,中国和美国为主要攻击对象。在国内,受攻击者主要集中在台湾、珠三角、长三角等外贸行业相对发达的地区。

马劲松指出,本次钓鱼邮件具备鱼叉攻击的典型特征,用极具诱惑力的名称为诱饵,提升钓鱼文件的点击执行率。同时,其目标明确,针对目标群体针对性地编造钓鱼邮件,可以最大限度地提升攻击成功率,而更重要的是,外贸从业者邮箱联系人、邮箱、社交网络帐号等一些商业机密也极为珍贵。攻击者得到这些信息之后,除了直接窃取个人资产、贩卖个人信息获利之外,通过窃取的邮箱、社交网络帐号可以继续寻找下一批攻击者。

17年“高龄”漏洞为罪魁祸首  腾讯电脑管家建议速补漏洞

此次不法分子发动大规模钓鱼攻击,正是利用了一个存留长达17年之久的微软高危漏洞(CVE-2017-11882)。此漏洞于近日结束了潜伏期,使不法分子有机可趁。本次钓鱼邮件中含有的恶意文档正是利用了该高危漏洞实现了远程执行恶意代码。

该漏洞被发现于11月14日微软发布的11月的安全更新中,但在更新发布之后不久,安全公司EMBEDI在官方博客上公开了其向微软提交的编号为CVE-2017-11882的Office远程代码执行漏洞,讲述了他们如何发现这个漏洞的过程,并揭露了该漏洞的部分技术细节。随后漏洞验证代码(PoC)被公开,可通过Github等渠道下载。

该漏洞的利用代码非常简单而且稳定,极易用于不法黑客攻击,特别是钓鱼邮件攻击:利用漏洞可以很容易构造出包括恶意代码的Office文档,点击后无需任何用户交互就可以远程执行任意代码。同时,漏洞影响所有的Microsoft Office版本以及Office 365。意识到问题的严重性之后,腾讯电脑管家也相继发布了多条关于CVE-2017-11882预警通告。

目前,针对外贸行业的商贸信病毒仍在持续肆虐中,腾讯电脑管家建议广大用户及时安装漏洞补丁(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882),并安装安全软件抵御病毒侵袭,腾讯电脑管家已可拦截该漏洞攻击。对于企业网管而言,可以过滤IOCs里的邮件发件人的一切邮件,并为防火墙新增IOCs里ip和url的拦截。


电脑管家V12.10

最近文档全新功能上线

详情>>

版本更新:2017.11.27