WARNING：如果你不是相关行业人士，切勿轻易打开CDC（疾控中心）发来的邮件! 

近日，网络安全公司Mimecast、KnowBe4、IBM X-Force和卡巴斯基先后发现了一系列针对“新冠病毒恐慌”恶意软件传播的活动，攻击者利用公众对新冠病毒的恐慌，发送含有恶意软件连接或者文件的邮件给用户，并用冠状病毒关键词主题诱骗接收者打开恶意附件或者链接。

目前，美国、日本等国家都发现此类冠状病毒主题的钓鱼邮件攻击。

这些恶意软件电子邮件假冒疾控中心或相关疫情防控机构，主题大多与冠状病毒通知、冠状病毒预防有关等。这些钓鱼电子邮件包含恶意附件，伪装成与病毒通知和预防相关的文件。

特别值得注意的是，部分钓鱼邮件借用冠状病毒来传播一种臭名昭著的木马病毒——Emotet。以前，Emotet恶意软件传播的常用套路是伪装成公司样式的付款发票和通知电子邮件，但是由于冠状病毒感染的全球性恐慌，号称“全球首个敏捷开发病毒”的Emotet，第一时间就对“投放”策略和“物料”做出了调整，果然够“敏捷”。

安全公司Mimecast和IBM XForce都发现了Emotet的冠状病毒主题钓鱼邮件攻击，既有针对美国和欧洲用户的，也有针对日本用户的。

样本如下：

1.假冒CDC疾控中心包含恶意链接钓鱼邮件样本

冠状病毒网络钓鱼电子邮件示例（KnowBe4）

2.假冒防疫专家包含恶意链接的钓鱼邮件样本

3.假冒健康机构针对日本用户的钓鱼邮件样本

下面是IBM X-Force发现的使用日语编写的钓鱼邮件，含有一个Word宏攻击文件，诱骗用户启用宏以后，可通过PowerShell将Emotet安装在用户设备中。邮件伪装成由日本的残疾福利服务提供商发送的感染预防信息，目标是那些受到冠状病毒爆发影响较大的用户（大阪、岐阜县等地）。 同时为了增加可信度附上了相关健康机构的真实邮寄地址，传真和电话号码：

来源：IBM X-Force

总结：钓鱼风暴才刚刚开始

产品高速迭代的敏捷化组织——Emotet开发团队，对安全行业和企业安全部门的反应能力是一个空前的挑战。根据卡巴斯基的报告，Emotet恶意软件活动只是利用冠状病毒恐慌吸引毫无戒心用户的众多活动之一。卡巴斯基已经确定了10个不同恶意软件（木马和蠕虫，可破坏复制修改数据或者中断计算机网络，常见附件格式为.PDF、.MP4、.DOC文件），都试图通过冠状病毒主题邮件感染设备。

对于身处冠状病毒重灾区的中国用户，虽然目前尚未有冠状病毒中文恶意软件钓鱼邮件的正式报道，但是相关安全人员和最终用户应当提高警惕（已经出现日文版本），尽快部署防范措施和相关培训。

下面是日本CERT（计算机紧急响应小组）最新发布的实用程序EmoCheck（GitHub：https://github.com/JPCERTCC/EmoCheck），可以帮助Windows用户轻松检查是否感染了Emotet木马。

如果运行EmoCheck发现已被感染，则应立即打开任务管理器终止相关进程，然后用防病毒软件扫描计算机，以确保木马尚未将其他恶意软件下载并安装到计算机上。对于网络管理员来说，此工具也很有用，它可以用作登录脚本的一部分，快速查找已感染了Emotet的计算机，以防止全面的勒索软件攻击。

转自：安全牛aqniu

毕安信息，全称毕安信息安全技术(上海)有限公司，是一家物联网安全公司。专注于应用软件和硬件安全防护以及整体安全解决方案，主要从事有关物联网安全、互联网安全的软硬件保护、数据加密、安全防范、下一代防火墙技术、防黑客攻击的技术研发工作，致力于向客户提供专业化的网络安全产品和数据安全防护服务。产品包括毕安云盾 I，II，III 型软件产品，以及毕安云盾安全防火墙、堡垒机等专业信息安全防护设备，能满足用户在协同平台、智慧工地、智慧建筑以及智慧城市网络安全和数据安全等业务场景的各类需求。

毕安云盾基于毕安信息云计算基础平台，结合通用规则防御、大数据安全防御和机器学习防御等，保障Web网站免受来自外部的黑客入侵，降低Web网站面临的安全风险，确保Web网站的正常运行。

毕安云盾可以防御OWASP常见的攻击威胁，例如SQL注入、XSS攻击、CSRF攻击、命令注入、非法HTTP协议、路径穿越等攻击。毕安云盾强大的CC防御引擎通过多种算法能有效识别各种CC攻击，并进行拦截阻断，保障Web系统的正常运行。

网络安全的核心是技术安全， 网络安全必须实现关键核心技术自主可控，毕安信息作为国内首先应用“毕安云盾”等信息安全产品于物联网安全、建筑工程信息安全领域的先驱者，将致力于研究、研发全面系统的智慧建筑网络安全、智慧城市网络安全、智慧园区网络安全、智慧工地网络安全、协同平台网络安全的解决方案及信息安全产品，为建筑物联网+互联网全生命周期的安全运营保驾护航！