打开网易新闻 查看精彩图片

一场极其隐蔽的钓鱼攻击正在通过虚拟硬盘链接伪装成普通PDF文档来传播恶意软件。由于员工习惯接收PDF格式的采购订单或发票,他们很可能会不假思索地打开这些恶意文件,从而使其中包含的恶意软件(本次攻击中为AsyncRAT远程访问木马)得以控制企业计算机。

这场钓鱼攻击的电子邮件并不直接附带文档,而是包含指向托管在IPFS(星际文件系统)上文件的链接。IPFS是一个去中心化存储网络,越来越多地被网络犯罪分子使用,因为它可以通过普通的网络网关访问。这些文件实际上是虚拟硬盘,打开时会挂载为本地磁盘,从而绕过一些Windows安全功能。磁盘内部是一个Windows脚本文件(WSF),伪装成用户期望的PDF文档。当用户打开该文件时,Windows会执行文件中的代码,从而使计算机容易受到远程用户的攻击。

为了保护自己,MalwareBytes实验室在一篇博客文章中建议组织和PC用户应将Windows设置为显示文件扩展名。该实验室将发现Dead#Vax恶意软件攻击活动的功劳归于Securonix公司。

Q&A

Q1:什么是Dead#Vax恶意软件攻击?

A:Dead#Vax是一场钓鱼攻击活动,通过虚拟硬盘链接伪装成普通PDF文档来传播AsyncRAT远程访问木马,攻击者利用员工习惯接收PDF格式文件的特点实施攻击。

Q2:IPFS在这次攻击中起什么作用?

A:IPFS是攻击者用来托管恶意文件的去中心化存储网络。网络犯罪分子越来越多地使用IPFS,因为它可以通过普通网络网关访问,便于传播恶意软件。

Q3:如何防范这种PDF伪装攻击?

A:MalwareBytes实验室建议组织和PC用户应将Windows设置为显示文件扩展名,这样可以帮助用户识别伪装成PDF的恶意脚本文件,避免误点击执行恶意代码。