圖書資訊中心

資安通報：偽冒健保署名義大量發送的惡意郵件

威脅資訊：

趨勢科技於近日接獲的情資發現，惡意人士冒用中央健康保險署的網址，大量寄發謊稱『健保費扣費明細』，實則夾帶惡意程式附件的惡意郵件。目前已收到許多類似郵件，趨勢科技在此特別提醒用戶應提高警覺。 

攻擊手法：

信件樣本如下圖所示：

信件中夾帶一個謊稱為回執聯的附件 (DPR602855965110012500XXXXXXXXXXXXX.pdf.exe)， 執行附件後，會連到drive[.]google[.]com 及 doc0-0c-b0-docs[.] googleusercontent[.]com 下載後門程式。 

並連結至惡意程式中繼站masterpat0nms672ns[.]duckdns[.]org (91[.]193[.]75[.]146) 的行為。

建議 ：

1. 再次提醒用戶，勿隨意開啟任何可疑的郵件與其中的附件。 
2. 確保趨勢科技產品保持更新的狀態。目前已可攔阻該惡意信件（TMASE 27426.004與之後的版本），並將惡意附件偵測為Trojan.Win32.GULOADER.ZTKB-A (18.237.00與之後的病毒碼)。