GandCrab打单病毒软件和Ursnif病毒通过MS Word宏撒播
|
据海外安详研究职员最近发明白两个单独的恶意软件勾当,个中一个是Ursnif数据窃取木马和GandCrab打单病毒软件组合在田野分发,而第二个仅用Ursnif恶意软件对用户装备举办传染。 这两个恶意软件勾当好像都是两个独立的收集犯法团体哄骗,但发明个中照旧有很多相似之处。这两种进攻都是通过包括嵌入了恶意宏的Microsoft Word文档附件,举办收集垂纶电子邮件开始,然后行使Powershell提供无文件恶意进攻。 Ursnif是一种用于窃取数据的恶意软件,可以从受传染的计较机窃取敏感信息,诸如网络银行根据、用户勾当、捕获键盘信息、体系和流程信息以及陈设其他后门措施等。GandCrab是一种打单病毒软件,客岁早些时辰被发明,像市场上的其他打单软件一样,通过加密受传染体系上的文件,打单受害者以数字钱币付出赎金,并且黑客开拓者首要在跟踪极其伟大的DASH中要求付款。
MS Docs + VBS宏= Ursnif和GandCrab传染 海外安详机构Carbon Black的安详研究职员发明白第一个宣布两个恶意软件威胁的恶意软件勾当,定位了约莫180种针对的是恶意VBS宏用户的MSWord文档。假如乐成执行恶意VBS宏,将运行PowerShell剧本,然后行使一系列技能在方针体系上下载并执行Ursnif和GandCrab。PowerShell剧本在base64中编码,执行下一个传染阶段,认真下载首要恶意软件负载以对体系举办危害。个中,第一个有用负载是PowerShell单行措施,用于评估方针体系的系统布局,然后从Pastebin网站下载特另外有用负载,该负载在内存中执行,使传统的反病毒技能难以检测其勾当。 这个PowerShell剧本是Empire Invoke-PSInject模块的一个版本,只有很少的修改,该剧本将回收base64编码的嵌入式PE [Portable Executable]文件,并将其注入当前的PowerShell历程。 最后在受害者的体系上安装一个GandCrab打单病毒软件的变体,将锁定体系,直到受害者用数字钱币付出赎金,题外话是就算受害者付出了赎金,是否能解开打单软件的锁定,其拭魅照旧一个未知数,以是我常常说信托一个打单者的诺言,那是对本身最大的危险。 同时,恶意软件还从长途处事器下载Ursnif可执行文件,一旦执行,,它将获取体系指纹,监督Web赏识器流量以网络数据,然后将其发送给进攻者的呼吁和节制(C&C)处事器。 MS Docs + VBS宏= Ursnif数据窃取恶意软件 其它,Cisco Talos安详研究职员发明的第二个恶意软件勾当操作包括恶意VBA宏的Microsoft Word文档,为Ursnif恶意软件的一种变体提供下载。此恶意软件进攻还会在多个阶段危及方针体系,从收集垂纶电子邮件到运行恶意PowerShell呼吁,以得到无文件耐久性的进攻,然后下载和安装Ursnif恶意软件窃取计较机数据。 [PowerShell]呼吁有三个部门。第一部门建设一个函数,后用于解码base64编码的PowerShell。第二部门建设一个包括恶意DLL的字节数组,第三部门执行第一部门中建设的base64解码函数,个中base64编码的字符串作为函数的参数。返回的解码后的PowerShell随后由简写的Invoke-Expression(iex)函数执行。 一旦在受害计较机上执行,恶意软件将从体系网络信息,打包成CAB文件名目,然后通过HTTPS安详毗连将其发送到其呼吁和节制处事器。Talos研究职员在他们的博客文章中宣布了一份进攻指标(IOC)列表,以及在受传染呆板裳?佚的有用负载文件名称,可以辅佐您在传染收集之前检测并阻止Ursnif恶意软件。 【编辑保举】
点赞 0 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
