• 發布單位:TWCERT/CC
• 更新日期:2020-08-07
• 點閱次數:3440

TWCERT/CC接獲通報，近日有發現駭客偽冒學術單位的網域名稱發送mail，博取收信企業之信任，發送要求報價為題的惡意郵件，引誘使用者點擊信件。並於信件中夾帶2個含有惡意巨集(Marco)的PowerPoint檔案，當使用者開啟該惡意PowerPoint檔案，會執行巨集指令下載惡意腳本。該惡意腳本透過Mshta執行schtasks.exe微軟工作排程，每次開機時會執行惡意腳本建立並維持後門連線。經檢測人員，發現這兩個惡意檔案雖檔名不同，但Hash相同。並使用合法網頁如:pastebin剪貼簿與j.mp縮網址躲避防毒軟體偵測。

相關攻擊手法如圖，若需進一步IOC資訊請用企業信箱寄信至twcert@cert.org.tw索取，謝謝。