APP下载

去年发送恶意Office档的骇客,又利用HTML转址手法散布木马程式

消息来源:baojiabao.com 作者: 发布时间:2026-07-10

报价宝综合消息去年发送恶意Office档的骇客,又利用HTML转址手法散布木马程式
图片来源: 

https://twitter.com/MsftSecIntel/status/1222995250911703041

微软安全情报中心发现去年散布恶意Office档案的骇客又开始蠢动,近日利用HTML转址的新手法来散布木马程式以窃取重要资讯。

这次攻击于本月月中开始在网络流传,是一个名为TA505(或称Dudear或Evil Corp)的骇客组织短暂歇止后再度活动。他们曾在2014年利用Necurs僵尸网络,向金融机构或零售业发送大量垃圾邮件,以散布Locky、BitPaymer等木马程式。去年TA505也曾以大量垃圾邮件的恶意Excel附件档,散布FlawedAmmyy或FlawedGrace的远端存取木马(remote access trojan,RAT)程式,台湾及韩国多家企业中标。

这次骇客手法更为进阶。过去Dudear是直接把恶意软件或恶意URL包在邮件附档中发送,但微软研究人员发现,这次他们是发送含有HTML转址(redirector)的邮件附档。用户开启后,其中的HTML再将用户导向自动下载一个含有宏的Excel档,后者之后才会于用户电脑下载恶意程式。微软说,这是Dudear首次被发现使用HTML转址工具。

当恶意Excel档下载到用户电脑上时,由于Windows会预设封锁巨堡,该档案显示仅可由桌机版或笔电版Excel开启,无法线上预览,用户必须按下“启动编辑”键才能开启文件。一经用户启动,就会载入FlawedGrace(或称GraceWire)远端存取RAT程式以窃取敏感资讯。

研究人员还发现骇客还利用IP回溯(IP trackback)服务,以追踪下载了恶意Excel档案的受害者IP地址。此外,这波攻击还客制化成不同语言版本的HTML档,以便扩大感染范围。

升级微软已公布了入侵指标(indicator of compromise, IoC),包括恶意程式样本使用的SHA-256杂凑值供企业IT人员检测。

2020-02-03 16:48:00

相关文章