微软警告恶意软件制作者正在瞄准航空业

声明：该文章由作者（王伍福）发表，转载此文章须经作者同意并请附上出处(0XUCN)及本页链接。。

微软安全情报团队刚刚在一连串的推文中发出了警示，提醒恶意软件制作者正在积极准备渗透航空业。近段时间，基于网络钓鱼的电子邮件活动有在持续发生。如果不幸中招，恶意软件会积极分发加载程序，然后敞开远程木马访问的后门。以近日常见的“空客全球研讨会”钓鱼邮件为例，其攻击者试图打着合法组织的名义来招摇撞骗。

对于从事航空、旅行、货运相关行业的人们来说，还请对此类邮件附件保持高度警惕。

伪造的 PDF 文件图像，包含了一个嵌入式的链接（通常基于合法 Web 服务的滥用）。攻击者会利用该链接来下载恶意 VBScript 脚本，以加载远程访问用的特洛伊木马。

用于初始感染的 VBS 文件（图 via Hossein Jazi）

之后，木马会下载恶意软件所需的其它模块，将代码注入 RegAsm、InstallUtil 或 RevSvcs 之类的进程中，最终将窃取的登录凭据、屏幕截图、网络摄像头、浏览器、剪贴板、以及系统和网络等数据，上传至攻击者的指定的服务器。

Snip3 攻击流程图（图自 Morphisec）

微软敦促受影响的行业从业者们主动验证其是否受到了此类攻击，并且分享了可在生产环境中查找类似恶意软件活动的高级查询工具。有需要的 IT 管理员，可移步至 GitHub 了解详情。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/