網(wǎng)絡(luò)犯罪者假借迪拜、巴林島、土耳其、加拿大執(zhí)法機(jī)構(gòu)官員的名義發(fā)送恐怖襲擊警報郵件，實質(zhì)上這些郵件是暗藏Sockrat后門的釣魚郵件。

本月早些時候，賽門鐵克發(fā)現(xiàn)惡意郵件冒用阿拉伯聯(lián)合酋長國執(zhí)法部門(尤其是迪拜警方)的郵件地址發(fā)送魚叉式釣魚郵件。這些釣魚郵件偽裝成迪拜警方發(fā)出的警告郵件，借著人們對恐怖襲擊事件恐懼的弱點，誘騙用戶點開惡意附件。附件偽裝是提供一些有價值的安全建議，以幫助收件人在遭遇恐怖襲擊時更好的保護(hù)好他們自己、保護(hù)他們的公司和他們的家庭。

??

[[157189]]

為了增加郵件的可信度，網(wǎng)絡(luò)犯罪者在郵件的最下方以迪拜現(xiàn)任警察局中將(同時也是迪拜酋長國安全負(fù)責(zé)人)的名字簽名。

??

郵件中有兩個附件：一個是PDF文件，該文件并沒有什么惡意程序，純粹是一個誘餌文件;另一個是.jar格式的壓縮文件，里面含有惡意程序。對這個惡意程序的進(jìn)一步研究確認(rèn)，惡意活動背后的網(wǎng)絡(luò)犯罪者使用的是一個叫做Jsocket( Backdoor.Sockrat)多平臺遠(yuǎn)程訪問木馬。該木馬是從AlienSpy RAT木馬中新衍生出來的一個版本，而AlienSpy RAT早在今年初的時候就已經(jīng)停止使用了。

毫無規(guī)律可言的攻擊目標(biāo)

網(wǎng)絡(luò)犯罪者發(fā)動此次攻擊活動主要針對的是UAE國家的公司和員工，另外我們還在其他3個國家發(fā)現(xiàn)了類似的魚叉式釣魚攻擊：巴林島、土耳其、加拿大。和迪拜的模式一樣，他們會在郵件下面是用現(xiàn)任執(zhí)法機(jī)構(gòu)官員的名稱作為簽名，以使受害者相信郵件是真實的，而且也聲稱附件是提供防護(hù)的方法。

??

很有趣的是，盡管這些郵件都不是用各國自己官方語言書寫的，但是郵件還是十分的狡猾。所有網(wǎng)絡(luò)犯罪者計劃中使用的官員當(dāng)下都是在職的。而且大部分情況下，郵件主題中顯示的員工名稱都在目標(biāo)公司中工作。所有的細(xì)節(jié)都暗示著，網(wǎng)絡(luò)犯罪者在發(fā)送釣魚郵件時應(yīng)該事先做過調(diào)查研究。

賽門鐵克確定這以攻擊活動將目標(biāo)鎖定在了中東和加拿大的一些大公司，并沒有針對特定某一行業(yè)，目前發(fā)現(xiàn)被攻擊的行業(yè)有：能源、國防承包商、金融、政府、市場和IT。

解決方法

用戶應(yīng)當(dāng)時刻保持警惕，當(dāng)心一些社工技巧，保護(hù)用戶數(shù)據(jù)安全。還有一些具體的方法如下：

1.不要打開可疑郵件中的附件和鏈接

2.在回復(fù)郵件時避免留下個人信息

3.不要在彈出的對話框或者屏幕中輸入個人信息

4.及時更新安全軟件

5.如果不能確定郵件的合法性，及時聯(lián)系IT部門