引言

研究人员发现了以Covid-19为主题的网络钓鱼活动，该活动使用多种方法绕过安全电子邮件网关（SEG）检测。钓鱼邮件主题是“Covid-19疫苗接种信息”，包含带有恶意宏的Excel文档。启用宏后，将释放并运行ProgramData文件夹中的恶意DLL。一旦恶意DLL被执行，将下载一个.XLS 文件，该文件实际上是一个可执行文件，为Buer Loader新变种，最初的C2通信使用多层加密，并包含受感染主机的信息。该变种具有授予攻击者访问目标受害者计算机的权限、创建后门访问、改变管理控制、修改系统文件和分发其他恶意软件的功能。

简况

钓鱼邮件主题是“Covid-19疫苗接种信息”，攻击者声称邮件正文包含“关于疾病控制和预防中心(CDC)、食品和药物管理局(FDA)在COVID-19疫苗领域的最新研究的紧急信息”。关于COVID-19疫苗计划的安全性在全球一直有着大量讨论，因此，这自然会吸引好奇的受害者。电子邮件正文如下：

邮件中包含带有恶意宏的Excel文档。启用宏后，将释放并运行ProgramData文件夹中的恶意DLL。一旦恶意DLL被执行，将下载一个.XLS 文件，该文件实际上是一个可执行文件，并存在几个反分析功能，具体为包含API调用旨在帮助逃避安全供应商的沙箱检查和检测，还包含多种MITRE策略，例如IsDebuggerPresent和GetTickCount以逃避检测。该可执行文件实际为Buer Loader新变种，具有授予攻击者访问目标受害者计算机的权限、创建后门访问、改变管理控制、修改系统文件和分发其他恶意软件的功能。Buer Loader 的这个新变种保持与旧版本相同的 C2 通信结构。最初的C2通信使用多层加密，并包含受感染主机的信息。

如果恶意下载程序成功执行，攻击者将能够实施以下威胁：

1.授予攻击者访问目标受害者计算机的权限

2.创建后门访问

3.改变行政控制

4.修改系统文件

5.分发其他恶意软件，包括勒索软件