近半年到现在，伴随着最新型新冠病毒病毒性肺炎“COVID-19”在全世界区域内快速扩散，

许许多多国家和地区的基层医院承受不住。另一方面，网络攻击却乘火打劫，运用钓鱼邮件对

政府部门、医疗服务等至关重要机构采取攻击。根据最近检测的数据信息，睿眼·电子邮件察觉

到应用肺炎疫情做为钓鱼邮件信息内容的电子邮件大幅度提高，在其中“假冒世界卫生组织机构

”、“欺诈慈善捐款”、“肺炎疫情应急物资欺诈”、“肺炎疫情进展（信息内容）欺诈”等比较

普遍。



随即提取好几个睿眼·电子邮件的一部分数据流量数据信息采取深入分析，察觉到肺炎疫情有关

钓鱼邮件占总钓鱼邮件的占比为二月0%、二月0.0634%、二月0.4013%。相比较2月，3月肺炎

疫情有关钓鱼邮件提高近6倍。与此同时，网络攻击也爱追“网络热点”，对于肺炎疫情的最新动

态不断创新钓鱼术语，运用受害人害怕、好奇心等心理状态，提升网络钓鱼的取得成功机率。

在二月初我国肺炎疫情比较嚴重的环节，网络攻击应用“国内新冠病毒患者：查清您所属地域有

多少”等中国疫情有关话题及信息内容采取电子邮件钓鱼推广木马程序。而到二月中下旬西班牙

肺炎疫情快速恶变环节，网络攻击变为应用“COVID-19准许的对于国内、西班牙的防范措施”等

国际热点信息内容采取电子邮件钓鱼推广木马程序。

 

 

 

在采取抽检深入分析的全过程中，中睿江山安全防护专家组察觉到多次“SWEASU”黑客联盟进

行的肺炎疫情有关钓鱼邮件，虚假邮件附件种类各种各样，大多数致力于派发AgentApollo（

一类信息内容盗取软件，发生于2015年乃至更早），运用CVE-2018-11783漏洞进行攻击，并

根据SmTP协议传送数据数据信息到liqiulhostbox下申请注册的电子邮箱。诸多征兆与“SWEA

SU”黑客联盟的有关情报信息充分符合。SWEASU最少在2018年就早已逐渐运行，首要应用信

息内容盗取软件和远程登录木马程序（RAT）来攻击关键。

 

 

钓鱼邮件溯源系统深入分析，咱们以在其中提取的两份“SWEASU”黑客联盟进行的钓鱼邮件特

征分析，来采取详尽的溯源系统深入分析。破译后的dll为C#编辑通过搞混的Agenttesla木马程

序，会搜集主机名、登录名、系统版本及其内存空间等信息内容，首要为盗取网页浏览纪录及

储存的账号和登陆密码，与此同时还具备网络监控键盘键位和粘贴板的基本功能，适用屏幕截

屏。SMTP协议数据文件，上传受害人信息内容的与此同时，网络攻击也在数据文件中曝露了

收件电子邮箱的账户密码。对数据信息破译后，安全防护权威专家取得成功登录网络攻击的收

件电子邮箱。
 

 

网络攻击电子邮箱的发件箱，这也是SWEASU黑客联盟在其中1个收取传送数据信息内容的电

子邮箱。自今年1月19日接到第二封电子邮件起，此电子邮箱已接到124封电子邮件。可推断

肺炎疫情刚刚开始暴发，网络攻击便开始了相对应的电子邮件钓鱼行为，并始终不断采取网络

钓鱼。关键受害人危害深入分析，不论是钓鱼邮件“国内新冠病毒患者：查清您所属地域有多

少”依然是“Cuornivirus–H&QAUTOYxscante”，在其中的木马程序都只不过个病毒下载器


实施的木马程序全部都是ypoiumkk木马程序。从此次提取的样版数据信息中，安全防护权威

专家得到好几个“SWEASU”黑客联盟收取窃取登陆密码的电子邮箱，发件箱中共察觉到342封

电子邮件，相匹配342个受害人，经去重复后被盗取的有关账户密码高达1307个，首要以gnof

ire和firefox中储存的登陆密码为主导。