网上查询酒店入住记录(怎么通过身份证查看宾馆入住记录)
网上查询酒店入住记录(怎么通过身份证查看宾馆入住记录)最近,360安全中心发现了一波疑似针对北美酒店业的网络钓鱼电子邮件攻击。攻击者通过网络钓鱼电子邮件将带有恶意代码的附件发送给了目标酒店的财务人员,声称该酒店拖欠了服务费用,旨在诱使收件人打开附件中的恶意文件。当收件人打开附件中的恶意文件时,恶意代
网上查询酒店入住记录(怎么通过身份证查看宾馆入住记录)
最近,360安全中心发现了一波疑似针对北美酒店业的网络钓鱼电子邮件攻击。攻击者通过网络钓鱼电子邮件将带有恶意代码的附件发送给了目标酒店的财务人员,声称该酒店拖欠了服务费用,旨在诱使收件人打开附件中的恶意文件。
当收件人打开附件中的恶意文件时,恶意代码将被激活,然后下载并执行NetWiredRC远控木马。NetWiredRC的功能十分强大,能够实现注册表的读写、文件读写、屏幕截图、键盘记录、模拟键盘/鼠标点击,以及窃取登录凭证等各种各样的恶意功能。
技术细网节
如上所述,攻击者谎称目标酒店的拖欠了某些服务的费用,并提醒收件人查看附件中的账单,以诱使收件人打开附件:
钓鱼电子邮件的附件是一个ZIP压缩文件,恶意代码就包含在解压后的一个快捷方式lnk文件中。
一个PowerShell脚本嵌入lnk文件的“目标”栏中,负责从“网http[:]//bit.do/e2VHR”恶意组件。
http[:]//bit.do/e2VHR是一个短网址,其真正的下载地址是http[:]//13.67.107.73:80/amtq/out-441441271.ps1:
Out-441441271.ps1被用作一个释放器,在执行后将释放.NET木马psd.exe:
psd.exe经过了层层混淆:
去混淆后,可以看出它的核心代码是解密并执行QMLBeOtNWa.exe:
QMLBeOtNWa.exe将在启动目录中释放一个快捷方式,以实现病毒自启动:
然后检查NetWiredRC是否已经存在,如果不存在,则解密并执行NetWiredRC:
如上所述,NetWiredRC是一种功能强大的远控木马,它可以执行以下病毒功能:
解密远程控制的在线地址:
获取磁盘信息:
获取截图:
按键记录:
模拟鼠标点击:
获取LSA登录会话信息:
窃取存储在IE、Como网de Dragon、Yandex、Mozilla Firefox、Google Chrome、Chromium、Opera浏览器和OutLook、ThundBird、SeaMonkey以及其他电子邮箱客户端中的登录凭证。以Chrome为例,代码逻辑如下:
