• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:422

●重點摘要： 1. Microsoft Publisher是微軟排版軟體，屬於 Microsoft Office 應用程式之一。 2. 資安專家近期發現一種垃圾郵件，其附件.PUB檔案裡夾藏木馬程式，並正大量散播中。 3. 該垃圾郵件會自稱來自各種英國或中國的品牌商，其主要大意是發送訂單或發票。 4. 當PUB附件被開啟時，將觸發內嵌的VBScript並下載一個.CAB自解壓縮檔到用戶的PC上。 5. 該.CAB檔案包含自動操作腳本(AutoIt Script)、腳本執行工具和AES-256演算法的加密檔案。 6. 該加密檔案實際就是一個後門木馬，允許駭客連接到遭感染的PC。 7. 資安專家將此木馬程式命名為「Generic.Malware.SFLl.545292C」，用來散播木馬的PUB檔案則以「W97M.Downloader.EGF」作為防護警訊。 8. 此木馬程式會側錄鍵盤輸入以記錄及收集在瀏覽器進行登入時的帳號密碼、Email內容及其他更多資訊。 9. 資安專家判斷會使用.PUB檔案這種非典型檔案來散播木馬，主因應為一般人可能不會對這種檔案類型與感染的可能性相關聯。 ●TWCERT/CC建議，用戶在接收Email時，請注意來源以及可疑副檔，並不要輕易開啟附件，以免遭駭客利用。

攻擊手法：

利用Microsoft Publisher 檔案的詐騙郵件來傳播後門木馬病毒

參考連結：

http://news.softpedia.com/news/windows-pcs-infected-with-backdoor-trojan-via-microsoft-publisher-files-508274.shtml
https://www.hotforsecurity.com/blog/microsoft-publisher-files-spread-backdoor-to-steal-corporate-data-bitdefender-warns-16620.html