假冒东京奥运文件的恶意软件Wiper,锁定日本用户而来

延期一年的2020东京奥运,正式于7月23日如火如荼举行。在此之前,美国联邦调查局(FBI)曾于7月19日发出警告,可能有网络攻击企图干扰这场大型运动赛事。隔了2天(7月21日),日本安全企业三井物产安全管理(三井物产セキュアディレクション,MBSD)披露,他们发现名为Wiper的恶意软件,攻击者将它伪装成东京奥运的文件,疑似锁定日本当地的Windows计算机发动攻击,删除用户的文件文件。

这起攻击引起MBSD留意的原因,是因为他们看到近期有人在法国上传了以日文命名的文件到VirusTotal,且这个恶意软件的文件名称与东京奥运有关:攻击者宣称是服务器因东京奥运所遭受网络攻击的损害调查报告。

为了让受害者误以为是PDF文件,黑客也将Wiper的图标更换为PDF文件。研究人员表示,虽然该恶意软件的文件扩展名是EXE,但是因为文件的名称非常长,即便用户设置了文件总管显示所有类型的文件扩展名,还是有可能因为无法直接看到文件扩展名,依据图标判别文件形态而上当。

一旦用户不慎打开Wiper,用户个人目录(c:\users\%username%\)下多种类型的Office文件、PDF文件、文本文件,以及事件记录和可执行文件等,就会遭到删除。值得留意的是,由日本当地知名文字处理软件一太郎所制作的文件(文件扩展名为JTDC、JTTC、JTD、JTT),也会遭到Wiper删除,研究人员依此研判,这项攻击行动应该是锁定日本用户而来。

为了避免行径被发现,MBSD指出,Wiper内置下列反侦测的功能。像是防范安全研究人员通过虚拟机(VM)触发,该恶意软件一旦发现处于这类环境中,便会自我删除。再者,则是在Wiper执行的过程中,攻击者运用了名为cURL的工具,企图误导鉴识受害计算机的安全人员,用户其实是因浏览成人网站XVideos,而导致部分计算机资料被删除。

发表评论