威脅資訊:
趨勢科技於近日接獲的情資發現,惡意人士冒用中央健康保險署的網址,大量寄發謊稱『健保費扣費明細』,實則夾帶惡意程式附件的惡意郵件,應提高警覺。
攻擊手法:
信件樣本如下圖所示:
信件中夾帶一個謊稱為回執聯的附件 (DPR602855965110012500XXXXXXXXXXXXX.pdf.exe), 執行附件後,會連到drive[.] google[.] com 及 doc0-0c-b0-docs[.] googleusercontent[.] com 下載後門程式。
並連結至惡意程式中繼站masterpat0nms672ns[.] duckdns[.] org (91[.] 193[.] 75[.] 146) 的行為。
趨勢科技建議:
- 再次提醒用戶,勿隨意開啟任何可疑的郵件與其中的附件。
- 確保趨勢科技產品保持更新的狀態。目前已可攔阻該惡意信件(TMASE 27426.004與之後的版本),並將惡意附件偵測為Win32.GULOADER.ZTKB-A (18.237.00與之後的病毒碼)。
- 若需要進一步的協助,可連繫趨勢科技技術支援部門 Trend Micro Technical Support.。