导语:最近一段时间里,恶意软件通过电子邮件不断的进行蔓延并且开始尝试越来越有针对性的攻击受害者。据我们观察现在的恶意软件已经不再像之前的那些一样清一色的把目光瞄向Windows用户了。
最近一段时间里,恶意软件通过电子邮件不断的进行蔓延并且开始尝试越来越有针对性的攻击受害者。据我们观察现在的恶意软件已经不再像之前的那些一样清一色的把目光瞄向Windows用户了。最近几周,我们观察到了一些恶意软件,其目标是针对在瑞士使用操作系统为Mac OS的人群,该操作系统由苹果公司开发,一直以来恶意软件的危害都很少和它挂钩。因此通过这一事件我们必须牢记,无论是使用的什么操作系统对安全的谨慎操作都是非常重要的。
通过攻击地点的时间线来针对恶意软件的情况进行分析的做法并不新鲜。据研究人员观察,几个月前在瑞士恶意软件的使用更多的是在对支付系统,例如通过攻击计算机内的支付系统来检查某些离线支付系统。这样的做法是由于计算机上存在相应的程序,攻击成功后就会被定制的恶意代码进行发送 (见2016年7月25日的MELANI通讯的离线支付软件被黑客攻击)。而在最近研究人员针对恶意软件的趋势进行分析后,已经确认在最近几周使用操作系统MacOS的用户越来越多的收到了网络罪犯的关注。其做法是通过不同的几波电子邮件检查受害者的操作系统,然后进行针对性的攻击。
此类邮件通常伪装成是来自知名公司,而这也是现在众所周知的一种手法。而据研究人员观察,恶意软件就藏在以ZIP文件形式存在的附件中,该附件应该包含了一个具有明确说明的指令顺序。一旦打开,恶意程序就会试图安装,但它与之前的银行木马Retefe完全不同,Retefe是一个在瑞士非常知名的的恶意程序,但到目前为止它所使用的攻击只对Windows操作系统。
为了保证攻击更具有针对性,攻击者会首先去检测特定受害人的操作系统,他们的第一步是先自动发送一封不知情的电子邮件到攻击者的邮箱里。而这种类型的电子邮件往往就是来自一个著名的公司,假装以各种借口接触来进行接触你,邮件中包含一个简短的文字或其他内容,唯一的联系方式就是邮件回复该公司。
该电子邮件包含在一张几乎看不到的图片(1×1像素)。如果进行了下载(也可根据电子邮件配置自动完成),它就会连接到攻击者的服务器设置,该图像会自动存储各种计算机配置信息,包括信息的使用操作系统(一般用户代理), 然后进行发送递送。通过这一方式犯罪分子将可以进行通过E-mail地址对应的电脑配置来针对性的进行攻击。而在第二步骤中,发送的电子邮件必然就是适合于受害者操作系统的。
因此现在看来,无论你使用什么样的系统,遭受到恶意软件攻击的风险都不会低,因此我们在最后建议:
1、请确你的电子邮件服务不要设置为自动下载图片以及其他文件。当然,通常来说这种保护是已经预设好的。
2、不要从电子邮件上下载来源未知的图片。
3、当收到那些不请自来的电子邮件时,尽量不要信任:不要信任那些只有电子邮件信息的不明身份的人是至关重要的,哪怕是已知发件人也要谨慎。特别值得信赖的公司反而更容易被滥用来作为假冒发件人地址。
4、不要在知名公司这一压力下就轻易相信。要通过充足的时间来进行确认,并合理的去了解一些疑问。再次,如果需要的话可以通过查找相关公司的电话来进行确认,通常知名企业的网站都会有相应的电话。
5、在极少数情况下可能发生受害人正好在现实中也在期待从该公司的电子邮件。但即使在这种情况下,也会有相当多的证据可以证明哪一个是真正的电子邮件。还是那句话:要有足够的时间来检查真实性。
为了防止感染恶意软件,我们还建议应该采取以下措施:
确保已经关掉了你的电子邮件网关并打开了垃圾邮件过滤器或过滤的潜在有害的电子邮件附件。通常情况下危险的电子邮件附件使用的文件扩展名如下:
.js (JavaScript) .jar (Java) .bat (Batch file) .exe (Windows executable) .cpl (Control Panel) .scr (Screensaver) .com (COM file) .pif (Program Information File) .vbs (Visual Basic Script) .ps1 (Windows PowerShell) .wsf (Windows Script File) .docm (Microsoft Word mit Makros) .xlsm (Microsoft Excel mit Makros) .pptm (Microsoft PowerPoint mit Makros)
对 das MaxOS 系统来说:
.app (Application macOS) .pkg (Package Files) .dmg (Disk Images) .sh (Shell Scripts) .py (Python Scripts) .pl (Perl Scripts)
这些文件类型也可以有不同的文件扩展名。因此过滤器过滤的程序,不仅基于文件名的扩展名,文件的内容也是非常重要的。
在确保这些危险的电子邮件附件也被阻止的同时,还要注意那些经过压缩的文件,如ZIP,RAR,甚至包括那些从你的公司发来的受保护的压缩文件(例如,在受密码保护的ZIP)。
此外,对电子邮件附件的甄别还包括那些其中包含宏(例如,如Word,Excel或PowerPoint)的附件。