• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:518

趨勢資安專家發現資料竊取病毒Fareit出現新型變種體，
也被稱為Pony Loader，利用Windows PowerShell來散播。
駭客透過帶有惡意附件的電子郵件散播Fareit病毒，
例如會利用Windows PowerShell的PDF檔案或是內嵌惡意巨集程式碼的Word檔案。

受害者開啟WORD檔附件時，惡意巨集程式碼會生成並執行TSPY_FAREIT
若是開啟PDF檔附件時，PDF會執行Windows PowerShell，透過它的OpenAction事件來下載和執行TSPY_FAREIT

FAREIT設計用以竊取用戶的資訊，包括登錄憑證、比特幣等相關詳細資訊。

TWCERT/CC建議用戶安裝防毒軟體，並小心防範惡意郵件和附件

攻擊手法： 利用釣魚郵件、附件執行病毒以竊取資訊

參考連結：

http://securityaffairs.co/wordpress/46717/malware/fareit-data-stealer-powershell.html
http://blog.trendmicro.com/trendlabs-security-intelligence/new-fareit-strain-delivered-abusing-powershell/
http://www.trendmicro.co.uk/vinfo/uk/threat-