安全公司 Heimdal Security 近期发现一起伪造达美航空支付确认邮件传播恶意软件、企图获取受害者银行账户信息的金融诈骗案。

研究人员表示，诈骗邮件并非像常规邮件那样提及航班信息，而是仅仅留有一个敦促用户快速点击的链接。另外，如果用户仔细观察接收到的电子邮件就会发现地址栏中呈现的是 @deltaa 而非 @delt *** 。据悉，这宗诈骗案背后的整个逻辑是让受害者误认为有人通过盗取自身凭证购买机票，即受害者邮箱里会出现一张署有他人名称的电子收据。在这种情况下，慌乱之中的受害者往往会在接到邮件后点击邮件中包含的所有链接，以便了解事件的来由及潜在开销。

毫无疑问，恶意链接会将受害者引至受感染网站，而这些网站用于托管感染 Hancitor 恶意软件的 Word 文档。Hancitor 是一款多功能恶意软件，常用于 *** 钓鱼攻击。一旦用户设备遭受感染，就会被 *** 犯罪分子用来下载恶意软件。

研究人员表示，一旦受害者下载并打开恶意 Word 文档，Hancitor 就会使用 PowerShell 代码激活并感染 PC 中的合法系统进程，将受害者 PC 连接至一台或多台恶意命令与控制（ C＆C ）服务器。受害者 PC 上随后安装的其他恶意软件均属于用于窃取 VPN、Web 浏览器、FTP 或消息应用密码与用户名等敏感信息的 Pony 恶意软件家族。

此外，经下载的另一个恶意软件 Zloader 为银行恶意软件，可用于窃取受害者银行账户信息、将账户内钱款洗劫一空。

原作者：Gabriela Vatu，译者：青楚，译审：游弋
本文由 HackerNews.cc 翻译整理，封面来源于 *** ；
转载请注明“转自 HackerNews.cc ” 并附上原文链接。