資安通報:偽冒健保署名義大量發送的惡意郵件

威脅資訊:

趨勢科技於近日接獲的情資發現,惡意人士冒用中央健康保險署的網址,大量寄發謊稱『健保費扣費明細』,實則夾帶惡意程式附件的惡意郵件。目前已收到許多類似郵件,趨勢科技在此特別提醒用戶應提高警覺。 

攻擊手法:
信件樣本如下圖所示:

信件中夾帶一個謊稱為回執聯的附件 (DPR602855965110012500XXXXXXXXXXXXX.pdf.exe), 執行附件後,會連到drive[.]google[.]com 及 doc0-0c-b0-docs[.] googleusercontent[.]com 下載後門程式。 

並連結至惡意程式中繼站masterpat0nms672ns[.]duckdns[.]org (91[.]193[.]75[.]146) 的行為。

建議 :

  1. 再次提醒用戶,勿隨意開啟任何可疑的郵件與其中的附件。 
  2. 確保趨勢科技產品保持更新的狀態。目前已可攔阻該惡意信件(TMASE 27426.004與之後的版本),並將惡意附件偵測為Trojan.Win32.GULOADER.ZTKB-A (18.237.00與之後的病毒碼)。

若需要進一步的協助,可連繫趨勢科技技術支援部門?Trend Micro Technical Support.