曹众科技警告假冒Windows恢复手册的扩散

关键要点

• 曹众科技警告组织注意到假冒Windows恢复手册的扩散。
• 该手册与全球IT故障有关，故障源于Falcon平台的错误更新。
• 攻击者利用恶意电子邮件和Word附件传播新型Daolpu信息盗取恶意软件。
• Daolpu可能源自越南，并针对该国广泛使用的浏览器。

最近，CrowdStrike警告各组织注意到一种假冒的Windows设备恢复手册正在扩散，这一事件与由于Falcon平台错误更新导致的全球IT故障有关。根据的报道，攻击者利用带有恶意Word附件的钓鱼电子邮件，这些附件包含与Microsoft支持公告相同的文本，涉及其针对受故障影响设备的恢复工具，并包含启用宏的功能。若宏被启用，将下载一个DLL文件。

CrowdStrike表示，Windowscertutil随后会解码该DLL文件，这使得Daolpu信息盗取者得以注入。该恶意软件能够在进程终止后窃取所有浏览器存储的凭证和Cookie。此外，CrowdStrike还提供了关于此次攻击的YARA规则和安全漏洞指标。BleepingComputer的进一步分析显示，Daolpu可能源于越南，因为该恶意软件目标是该国广泛使用的一种浏览器。

提醒： 对于所有组织而言，保持警惕并确保更新所有安全措施是非常重要的，以防止此类攻击的发生。