病毒预报  第八百三十三期

国家计算机病毒应急处理中心通过对互联网的监测，发现有攻击者利用新冠病毒疫情的诱饵文档向用户投放名为“Warzone”的恶意软件的攻击事件，攻击者的目标主要是从事外贸行业的用户。

本次攻击中，攻击者采用鱼叉式钓鱼攻击向目标发送钓鱼邮件，攻击者伪造美国疾病控制和预防中心作为邮件的发件人，邮件主题和诱饵文档的名称都与新冠病毒疫情相关，能够引起目标的阅读兴趣，从而诱使目标打开诱饵文档。诱饵文档为存在微软Office公式编辑器漏洞（CVE-2017-11882）的word文档，当用户在没有安全防护软件，且使用没有修复该漏洞的Office软件打开诱饵文档，则会触发恶意代码。恶意代码运行后会从攻击者指定的C2服务器下载Warzone恶意软件，运行时在内存中进行多次解密，最终得到Warzone远程控制程序。Warzone远程控制程序运行后会提升自身权限，进而采取多种方法对抗包括Windows Defender在内的windows系统下的安全机制，其可以获取Firefox浏览器、Chrome浏览器和IE浏览器中保存的账号密码信息，还可以获取Outlook邮箱和Thunderbird邮箱中保存的账号密码信息。另外，该程序具有文件操作、键盘记录等多种远控功能。

近期利用新冠病毒作为热点来进行网络攻击的事件层出不穷，建议广大用户尤其是从事外贸行业的用户要提高安全意识，不要打开来历不明的邮件附件，及时安装系统软件的更新，安装杀毒软件并将病毒库更新到最新。

联系方式：
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心