钓鱼软件 200 美元/套，黑帽黑客靠疫情发大财

编者按：本文来自微信公众号“HyperAI超神经”（ID:HyperAI），作者：神经小兮，36氪经授权发布。

内容提要：一边是新冠病毒在全球肆虐，一边却是计算机病毒在趁乱作恶。对普通人来说，新冠疫情是场灾难，而对于黑客们来说，却是一次千载难逢的播撒病毒的好机会。

关键词：黑客 网络攻击 窃取数据

新型冠状病毒在全球传播令人担忧，而黑客们却暗自欣喜，开始了一场「狂欢」。

他们正在利用人们的对新冠病毒的恐惧心理疯狂作案。比如，电子邮件，App，传播恶意软件，从而诈骗钱财与信息。

疫情严重的国家如意大利、美国等，都成为黑客借势攻击的头号目标。

WHO、CDC 遭受平日 2 倍网络攻击

在过去几天中，以 COVID-19 为主题的多个网络攻击和恶意软件已席卷全球。

这段时期，备受关注的世界卫生组织（WHO）、美国疾病控制和预防中心（CDC）等权威卫生机构首当其冲，成了黑客们的重点攻击对象。

世界卫生组织（WHO 官方网站）近年多次遭黑客组织入侵

据路透社报道，本月早些时候，黑客试图入侵 WHO。虽然没有成功入侵，但 WHO 表示，他们所遭到的网络攻击较以往增加了一倍，包括试图模仿 WHO 内部电子邮件系统，以获取职员密码。

腾讯安全威胁情报中心也于近期检测到，黑客伪造 CDC 为发件人，投递附带 Office 公式编辑器漏洞的文档至目标用户邮箱，收件人在存在 Office 公式编辑器漏洞（CVE-2017-11882）的电脑上打开文档，就可能触发漏洞下载商业远控木马 Warzone RAT。

划重点：警惕三类网络攻击套路

目前，利用 COVID-19 进行网络攻击的行为，主要可分为以下三类：

 1. 网络钓鱼电子邮件 

网络钓鱼是最常见的攻击技术之一。今年 1 月新冠肺炎确诊病例开始增加后，几乎同时就出现了使用 COVID-19 相关诱导性标题的邮件钓鱼活动。

WHO 和 CDC 等卫生组织已成为主要目标，他们已经观察到攻击者使用重要安全文件或感染地图为诱饵，诱骗用户点击 URL 或下载文件。

今年 2 月，一个用户在著名的俄语网络犯罪论坛 XSS 上发起了一个主题，宣传一种新的以 COVID-19 为主题的网络钓鱼套路。

这些电子邮件的主题包括特定行业的分析报告和官方的政府健康建议的详细信息，以及在此期间提供口罩或其他有关运营和物流信息的卖方。

XSS 发布与 COVID-19 相关的网络钓鱼诈骗方案

声称可伪装为病毒热力图来发送恶意软件

钓鱼方案则是通过伪装成病毒爆发分布图的电子邮件附件，来传播恶意软件，附件中包含来自 WHO 的实时数据。该地图本身是由约翰·霍普金斯大学系统科学与工程中心（CSSE）创建的合法地图的模仿。

该方案定价为 200 美元，如果买家还需要 Java CodeSign 证书，则价格为 700 美元。

另一种网络钓鱼骗局则是冒充 WHO 的官方电子邮件。

这封电子邮件包含一个链接，指向据称是有关防止病毒传播的文件，但受害者点击之后，会转至一个试图获取证书的恶意域名。

冒充世界卫生组织的网络钓鱼骗局

这类邮件通常会包含几个语法和格式错误，攻击者可以利用这些错误来缩小受害者范围，并绕过垃圾邮件过滤器。

 2.恶意应用 

尽管苹果已在其 App Store 中限制了与 COVID-19 相关的应用程序，Google 也已从 Play 商店中删除了一些相关应用程序，但恶意应用程序仍然防不胜防。

美国域名主机网站 DomainTools 发现了一个网站，该网站敦促用户下载一个 Android 应用程序，该应用程序提供有关 COVID-19 的跟踪和统计信息，包括感染热力图。但是，该应用程序实际上装有以 Android 为目标的勒索软件，现在称为 COVIDLock。

COVIDLock 以 Android 设备为目标

锁定屏幕并勒索以换取解锁，图为该软件的赎金通知书

该软件的赎金通知书要求，在 48 小时内支付 100 美元的比特币，并威胁要删除受害者的联系人、图片和视频以及手机的内存。

DomainTools 报告说，与 COVIDLock 相关的域以前被用于分发色情相关的恶意软件。

 3. 不安全的终端 

由于目前大量员工都在远程工作，围绕端点和使用端点的人员的风险会增加。

如果员工不定期更新他们的系统，员工在家里使用的设备可能会变得更容易受到攻击。

长时间在家办公也可能鼓励用户将影子应用程序下载到设备上，或者会忽略他们在办公室通常遵循的安全政策。

而一些选择在咖啡馆里工作的人，可能仍然容易受到盗窃、设备丢失或中间人攻击的影响。

WHO 攻略：如何防范网络钓鱼？

对于种种网络攻击手段，WHO 已经及时向广大用户发布了相关防范方法。

WHO 提醒，网络诈骗会通过 WhatsApp 

来诱骗点击恶意链接或打开附件

世卫组织目前发出的唯一捐款呼吁是 COVID-19 团结应急基金（COVID-19 Solidarity Response Fund），其链接如下：

https://www.who.int/emergencies/diseases/novel-coronavirus-2019/donate。

因此，任何其他来自世卫组织的资金或捐款，都是骗局！

此外，针对利用 COVID-19 紧急情况发送的网络钓友邮件，WHO 也给出了详细的防范建议：

• 警惕提供敏感信息，如用户名或密码

• 点击链接前，谨慎审核域名；

• 打开邮件附件前，谨慎审核发件人邮箱。