今天打开Foxmail,然后就开始接收新的邮件。在一堆新的邮件中,发现了一封自称是来自”诺诺网“发送过来的”电子发票“,随后打开了一下,具体内容如下截图:
在看到这封邮件的时候,笔者的警觉性还不是特别高,只是在看到的金额之后,在想着自己最近有没有买对应金额的物品,感觉好像有,曾经在京东上面买过东西,金额是有点接近的,但随后又想了一下,那次在京东上面买东西,有自营的,也有第三方的,一般来说都不会开同一份发票,会分开来发,分开后每张发票离那个金额就远了。此时开始有点警觉性了,再认真看了一下这个邮件,首先邮件的发送人域名不是诺诺官方的@nnuo.com,而是”@kzupx.cn“,而域名kzupx.cn并未在工信部进行备案,因此,可以认为这个邮件存在一定的仿冒风险。
随后笔者点击邮件”下载保存至本地“后,会在浏览器中打开一个网址,具体如下:
这里有意思的是,这个网址居然还是使用了SSL证书,只不过是通过 Let’s Ecrypt 颁发的,还要是昨天晚上才生成的:
笔者点击下载了这个网址里面提到的”附件“,得到一个压缩包,里面有一个exe可执行文件,并且随后把这个文件拿到杀毒软件处进行扫描,扫描结果是存在木马。到此,基本可以肯定这封邮件是引诱邮箱用户下载病毒/木马的钓鱼邮件。
此外,提醒一下大家,如果对于下载的不明文件存疑,千万不要双击直接打开或者通过其它方式执行文件,而是先把文件提交到杀毒软件处进行检测,如果杀毒软件检测不出来,也不要轻易地执行,有条件的话可以在一个与网络隔离的、已备份可恢复的电脑,或者在虚拟机中建立快照、然后再在断开网络的虚拟机中执行测试,以查看其行为,在测试结束之后,马上把电脑或虚拟机恢复到测试之前的状态。
