近几个月以来，随着新型冠状病毒肺炎“COVID-19”在全球范围内快速蔓延，许多国家和地区的卫生系统不堪重负。与此同时，攻击者却趁火打劫，利用钓鱼邮件对政府、医疗等重要部门进行攻击。

 通过近期监测的数据，睿眼·邮件发现使用疫情作为钓鱼邮件内容的邮件大幅增长，其中“冒充WHO组织”、“诈骗捐款”、“疫情物资欺骗”、“疫情进度（信息）欺骗”等最为常见。随机截取多个睿眼·邮件的部分流量数据进行分析，发现疫情相关钓鱼邮件占总钓鱼邮件的比例为1月0%、2月0.0634%、3月0.4013%。相比二月，三月份疫情相关钓鱼邮件增长近6倍。同时，攻击者也爱追“热点”，针对疫情的最新动向不断更新钓鱼话术，利用受害者恐惧、好奇等心理，增加钓鱼攻击的成功几率。

在2月初国内疫情较为严重的阶段，攻击者使用“中国冠状病毒病例：查明您所在地区有多少”等中国疫情相关主题及内容进行邮件钓鱼投放木马。而到3月中旬意大利疫情迅速恶化阶段，攻击者转为使用“COVID-19批准的针对中国、意大利的补救措施”等国际热点内容进行邮件钓鱼投放木马。

2月：利用中国疫情相关内容发起攻击

钓鱼邮件正文

联动分析

附件样本分析：

上述样本利用CVE-2017-11882公式编辑器漏洞，从http://216.170.123.111/file.exe下载文件到%AppData%Roamingvbc.exe执行，vbc.exe内存加载一段ShellCode执行。

下载木马程序

加载一段ShellCode执行

ShellCode中使用ZwSetInformationThread 函数修改_Ethread结构中的HideFromDebuggers进行反调试，之后动态获取一些进程注入使用的API地址。

使用ZwSetInformationThread进行反调试

动态获取进程注入使用的API地址

之后创建RegAsm.exe进程，将本段ShellCode注入新创建的RegAsm.exe进程。

创建RegAsm.exe进程并注入ShellCode

修改线程Context后恢复执行。

修改线程Context

ShellCode注入RegAsm.exe进程后从http://216.170.123.111/nass.exe

下载“nass.exe”，其功能与vbc.exe相同。

下载“nass.exe”

再次从

http://216.170.123.111/MR_encrypted_D34A1CF.bin

下载一个加密的文件。

下载“MR_encrypted_D34A1CF.bin”

解密之后加载执行。

加载执行MR_encrypted_D34A1CF.bin

解密后的EXE为C#编写经过混淆的Agenttesla木马，会收集计算机名、用户名、系统版本以及内存大小等信息，主要为窃取浏览器访问记录及保存的帐号和密码，同时还具有监控键盘按键和剪切板的功能，支持屏幕截图。

收集用户名、计算机名

收集系统版本和内存大小

窃取浏览器访问记录及保存的帐号、密码

监控键盘按键、剪切板，并支持屏幕截图等

收集的信息支持HTTP、FTP以及SMTP三种方式回传。 本样本配置通过SMTP回传。

配置通过SMTP回传

恶意程序中存储的登录方式经过解密可获取攻击者使用的邮箱账号密码。

邮件2：Coronavirus – H&Q AUTO Update

钓鱼邮件正文

包含附件：H&Q AUTO customer letter COVID-19 update.doc

附件MD5 :

1c87c6c304e5fd86126c76ae5d86223b

附件样本分析：

对doc文件进行分析，程序调用Office公式编辑器，利用CVE-2017-11882漏洞进行攻击。

调用命令行

恶意文件运行调试后会访问域名“sterilizationvalidation.com”下载PE文件“elb.exe”，其功能与Agent tesla木马相同。通过路径看，是利用一个存在漏洞的WordPress网站作为C&C节点。

wireshark截图（SMTP流量）

从流量上看，攻击者通过mailhostbox邮箱服务商，登陆设定好的邮箱给自己发送了一封邮件，邮件内容是受害主机内的相关应用账号密码。

SMTP协议数据包

发送受害者信息的同时，攻击者也在数据包中暴露了收件邮箱的账号密码。对数据解密后，安全专家成功登陆攻击者的收件邮箱。

攻击者邮箱的收件箱

这是SWEED黑客组织其中一个收取回传信息的邮箱。自2020年1月19日收到第一封邮件起，此邮箱已收到121封邮件。可推断疫情刚开始爆发，攻击者便开始了相应的邮件钓鱼动作，并一直持续进行钓鱼攻击。

目标受害者影响分析

无论是钓鱼邮件“中国冠状病毒病例：查明您所在地区有多少”还是“Coronavirus – H&Q AUTO Update”，其中的恶意程序都只是个木马下载器，最终执行的木马都是Agent tesla木马。

从本次截取的样本数据中，安全专家获得多个“SWEED”黑客组织收取盗窃密码的邮箱，收件箱中共发现342封邮件，对应342个受害者，经去重后被窃取的相关账号密码多达1307个，主要以chrome和firefox中存储的密码为主。

数据回传邮件中的账号分布占比