GandCrab勒索病毒软件和Ursnif病毒通过MS Word宏传播
据国外安全研究人员最近发现了两个单独的恶意软件活动,其中一个是Ursnif电子游艺免费申请彩金窃取木马和GandCrab勒索病毒软件组合在野外分发,而第二个仅用Ursnif恶意软件对用户设备进行感染。
- 作者:何威风来源:鼎信信息安全测评|2019-01-28 05:00
据国外安全研究人员最近发现了两个单独的恶意软件活动,其中一个是Ursnif电子游艺免费申请彩金窃取木马和GandCrab勒索病毒软件组合在野外分发,而第二个仅用Ursnif恶意软件对用户设备进行感染。
这两个恶意软件活动似乎都是两个独立的网络犯罪集团操纵,但发现其中还是有许多相似之处。这两种攻击都是通过包含嵌入了恶意宏的Microsoft Word文档附件,进行网络钓鱼电子邮件开始,然后使用Powershell提供无文件恶意攻击。
Ursnif是一种用于窃取电子游艺免费申请彩金的恶意软件,可以从受感染的计算机窃取敏感信息,诸如收集银行凭据、用户活动、捕捉键盘信息、系统和流程信息以及部署其他后门程序等。GandCrab是一种勒索病毒软件,去年早些时候被发现,像市场上的其他勒索软件一样,通过加密受感染系统上的文件,勒索受害者以数字货币支付赎金,而且新用户注册送47元彩金开发者主要在跟踪极其复杂的DASH中要求付款。
MS Docs + VBS宏= Ursnif和GandCrab感染
国外安全机构Carbon Black的安全研究人员发现了第一个发布两个恶意软件威胁的恶意软件活动,定位了大约180种针对的是恶意VBS宏用户的MSWord文档。如果成功执行恶意VBS宏,将运行PowerShell脚本,然后使用一系列技术在目标系统上下载并执行Ursnif和GandCrab。PowerShell脚本在base64中编码,执行下一个感染阶段,负责下载主要恶意软件负载以对系统进行危害。其中,第一个有效负载是PowerShell单行程序,用于评估目标系统的体系结构,然后从Pastebin网站下载额外的有效负载,该负载在内存中执行,使传统的反病毒技术难以检测其活动。
这个PowerShell脚本是Empire Invoke-PSInject模块的一个版本,只有很少的修改,该脚本将采用base64编码的嵌入式PE [Portable Executable]文件,并将其注入当前的PowerShell进程。
最后在受害者的系统上安装一个GandCrab勒索病毒软件的变体,将锁定系统,直到受害者用数字货币支付赎金,题外话是就算受害者支付了赎金,是否能解开勒索软件的锁定,其实还是一个未知数,所以我经常说相信一个勒索者的信誉,那是对自己最大的伤害。
同时,恶意软件还从远程开户注册送38体验金器下载Ursnif可执行文件,一旦执行,它将获取系统指纹,监视Web浏览器流量以收集电子游艺免费申请彩金,然后将其发送给攻击者的命令和控制(C&C)开户注册送38体验金器。
MS Docs + VBS宏= Ursnif电子游艺免费申请彩金窃取恶意软件
另外,Cisco Talos安全研究人员发现的第二个恶意软件活动利用包含恶意VBA宏的Microsoft Word文档,为Ursnif恶意软件的一种变体提供下载。此恶意软件攻击还会在多个阶段危及目标系统,从网络钓鱼电子邮件到运行恶意PowerShell命令,以获得无文件持久性的攻击,然后下载和安装Ursnif恶意软件窃取计算机电子游艺免费申请彩金。
[PowerShell]命令有三个部分。第一部分创建一个函数,后用于解码base64编码的PowerShell。第二部分创建一个包含恶意DLL的字节数组,第三部分执行第一部分中创建的base64解码函数,其中base64编码的字符串作为函数的参数。返回的解码后的PowerShell随后由简写的Invoke-Expression(iex)函数执行。
一旦在受害计算机上执行,恶意软件将从系统收集信息,打包成CAB文件格式,然后通过HTTPS安全连接将其发送到其命令和控制开户注册送38体验金器。Talos研究人员在他们的博客文章中发布了一份攻击指标(IOC)列表,以及在受感染机器上删除的有效负载文件名称,可以帮助您在感染网络之前检测并阻止Ursnif恶意软件。
【编辑推荐】
点赞 0
- 大家都在看
- 猜你喜欢
编辑推荐
- 24H热文
- 一周话题
- 本月最赞
- 最值得推荐的五个付费VPN开户注册送38体验金TLS和HTTPS加密,公钥私钥体系安卓系统里最好用的VPN工具汇总撕开黑产遮羞布,扼住中国电影发展的岂止一个盗版!WAF绕过的捷径与方法最值得推荐的5个VPN开户注册送38体验金新用户注册送47元彩金暗网出售攻击热门网站获取超7.44亿的记录报告显示:流量型攻击依旧是企业梦魇
- 最值得推荐的五个付费VPN开户注册送38体验金安卓系统里最好用的VPN工具汇总8项提示成就完美的物联网安全 - 网络·安全技术周刊第334期通过RDP隧道绕过网络限制最值得推荐的5个VPN开户注册送38体验金2018年十大局域网监控工具,网络管理员值得一试适用于Windows,Linux和OS X的2018年优秀新用户注册送47元彩金工具中小企业提高网络安全的五种方式
- 最值得推荐的五个付费VPN开户注册送38体验金安卓系统里最好用的VPN工具汇总最值得推荐的5个VPN开户注册送38体验金2018年十大局域网监控工具,网络管理员值得一试完全教程 Aircrack-ng破解WEP、WPA-PSK加密利器免费DDoS攻击测试工具大合集细说七大邮件安全协议的实现原理微软bing搜索引擎疑似被屏蔽 国内多地无法访问
视频课程+更多
-
渗透测试工程师课程-Web安全文件上传(配实验
讲师:Web安全探究者870人学习过
-
实战Web安全测试视频课程(第四部分)
讲师:艾海涛8511人学习过
-
Openssl的常用场景视频教程(自签名证书+开户注册送38体验金
讲师:常涛10370人学习过
- 精选博文
- 论坛热帖
- 下载排行
读 书 +更多
电子游艺免费申请彩金库加密——最后的防线
本书是关于如何使用已有的密码技术和算法对电子游艺免费申请彩金库中存储的信息进行保护的书,书中所关注的内容主要是如何设计、建立(或者挑选、集成)一套...
-
订阅51CTO邮刊
点击这里查看样刊