網(wǎng)絡(luò)犯罪者假借迪拜、巴林島、土耳其、加拿大執(zhí)法機(jī)構(gòu)官員的名義發(fā)送恐怖襲擊警報(bào)郵件，實(shí)質(zhì)上這些郵件是暗藏Sockrat后門的釣魚郵件。

本月早些時(shí)候，賽門鐵克發(fā)現(xiàn)惡意郵件冒用阿拉伯聯(lián)合酋長國執(zhí)法部門(尤其是迪拜警方)的郵件地址發(fā)送魚叉式釣魚郵件。這些釣魚郵件偽裝成迪拜警方發(fā)出的警告郵件，借著人們對恐怖襲擊事件恐懼的弱點(diǎn)，誘騙用戶點(diǎn)開惡意附件。附件偽裝是提供一些有價(jià)值的安全建議，以幫助收件人在遭遇恐怖襲擊時(shí)更好的保護(hù)好他們自己、保護(hù)他們的公司和他們的家庭。

??

[[157189]]

為了增加郵件的可信度，網(wǎng)絡(luò)犯罪者在郵件的最下方以迪拜現(xiàn)任警察局中將(同時(shí)也是迪拜酋長國安全負(fù)責(zé)人)的名字簽名。

??

郵件中有兩個(gè)附件：一個(gè)是PDF文件，該文件并沒有什么惡意程序，純粹是一個(gè)誘餌文件;另一個(gè)是.jar格式的壓縮文件，里面含有惡意程序。對這個(gè)惡意程序的進(jìn)一步研究確認(rèn)，惡意活動(dòng)背后的網(wǎng)絡(luò)犯罪者使用的是一個(gè)叫做Jsocket( Backdoor.Sockrat)多平臺(tái)遠(yuǎn)程訪問木馬。該木馬是從AlienSpy RAT木馬中新衍生出來的一個(gè)版本，而AlienSpy RAT早在今年初的時(shí)候就已經(jīng)停止使用了。

毫無規(guī)律可言的攻擊目標(biāo)

網(wǎng)絡(luò)犯罪者發(fā)動(dòng)此次攻擊活動(dòng)主要針對的是UAE國家的公司和員工，另外我們還在其他3個(gè)國家發(fā)現(xiàn)了類似的魚叉式釣魚攻擊：巴林島、土耳其、加拿大。和迪拜的模式一樣，他們會(huì)在郵件下面是用現(xiàn)任執(zhí)法機(jī)構(gòu)官員的名稱作為簽名，以使受害者相信郵件是真實(shí)的，而且也聲稱附件是提供防護(hù)的方法。

??

很有趣的是，盡管這些郵件都不是用各國自己官方語言書寫的，但是郵件還是十分的狡猾。所有網(wǎng)絡(luò)犯罪者計(jì)劃中使用的官員當(dāng)下都是在職的。而且大部分情況下，郵件主題中顯示的員工名稱都在目標(biāo)公司中工作。所有的細(xì)節(jié)都暗示著，網(wǎng)絡(luò)犯罪者在發(fā)送釣魚郵件時(shí)應(yīng)該事先做過調(diào)查研究。

賽門鐵克確定這以攻擊活動(dòng)將目標(biāo)鎖定在了中東和加拿大的一些大公司，并沒有針對特定某一行業(yè)，目前發(fā)現(xiàn)被攻擊的行業(yè)有：能源、國防承包商、金融、政府、市場和IT。

解決方法

用戶應(yīng)當(dāng)時(shí)刻保持警惕，當(dāng)心一些社工技巧，保護(hù)用戶數(shù)據(jù)安全。還有一些具體的方法如下：

1.不要打開可疑郵件中的附件和鏈接

2.在回復(fù)郵件時(shí)避免留下個(gè)人信息

3.不要在彈出的對話框或者屏幕中輸入個(gè)人信息

4.及時(shí)更新安全軟件

5.如果不能確定郵件的合法性，及時(shí)聯(lián)系IT部門