驱动人生系列木马狼烟再起！以新冠疫情钓鱼邮件为掩护大肆传播

就在全球各国深陷新冠疫情（COVID-19）荼毒之际，不少网络攻击者紧跟疫情热点，或冒充卫生医疗机构，或捏造抗疫要闻，假借钓鱼邮件煽风点火，大行网络攻击之事。尽管当前国内疫情得到了有效控制，但无论是对于新冠病毒还是网络病毒来说，大家都应该继续保持警惕。

近期，360白泽实验室拦截到属于驱动人生系列木马的全新病毒模块，经过对其的样本分析发现，该病毒模块为蠕虫病毒。攻击者利用受害者邮箱，向账户联系人传播疫情主题钓鱼邮件，从而传播、部署该系列木马，并将此次攻击行动命名为“bluetea”，因此称其为“蓝茶行动”。

根据360安全大脑监测，此次“蓝茶行动”波及到了国内诸多企业，如上海红日国际电子有限公司、兰博基尼深圳等企业均已感染该病毒。

经过360安全大脑对此次攻击活动的详细分析，可知攻击者发送钓鱼邮件的代码逻辑如下：

    攻击者将钓鱼邮件包装成名为“The Truth of COVID-19”的主题邮件，内含携带CVE-2017-8570漏洞的恶意rtf文档附件，诱导用户点击钓鱼邮件。

用户一旦点击带有恶意文档的附件，即可触发漏洞，并执行下图中的sct脚本：

下载的脚本经过多重混淆，去混淆后内容如下图所示，其主要目的是是通过创建多个计划任务，实现病毒驻留，其中就含有一个名为“bluetea”的病毒。

    自驱动人生系列木马爆发以来，其传播方式、混淆方式，以及盈利模块等内容都进行过数次更新。从利用永恒之蓝漏洞传播到弱口令爆破，再发展到如今通过钓鱼邮件进行传播部署，其背后的黑客团伙一直在不断研究新病毒、新传播方式。不过广大用户无需担心，360安全卫士能强力拦截此类木马病毒，时刻守护大家的电脑安全。

面对此类以钓鱼邮件进行传播的网络攻击，360安全大脑建议大家：

   1、下载安装360安全卫士，并保证开启，有效拦截病毒木马等网络攻击；

   2、切勿轻易点击未知来源的电子邮件，尤其针对新冠疫情主题的电子邮件更要提高警惕；

   3、提高网络安全意识，及时更新系统漏洞，为电脑打补丁。

来源  360安全卫士