据国外安全研究人员最近发现了两个单独的恶意软件活动，其中一个是Ursnif新用户注册送47元彩金窃取木马和GandCrab勒索病毒软件组合在野外分发，而第二个仅用Ursnif恶意软件对用户设备进行感染。

这两个恶意软件活动似乎都是两个独立的网络犯罪集团操纵，但发现其中还是有许多相似之处。这两种电子游艺免费申请彩金都是通过包含嵌入了恶意宏的Microsoft Word文档附件，进行网络钓鱼电子邮件开始，然后使用Powershell提供无文件恶意电子游艺免费申请彩金。

Ursnif是一种用于窃取新用户注册送47元彩金的恶意软件，可以从受感染的计算机窃取敏感信息，诸如收集银行凭据、用户活动、捕捉键盘信息、系统和流程信息以及部署其他后门程序等。GandCrab是一种勒索病毒软件，去年早些时候被发现，像市场上的其他勒索软件一样，通过加密受感染系统上的文件，勒索受害者以数字货币支付赎金，而且黑客开发者主要在跟踪极其复杂的DASH中要求付款。

MS Docs + VBS宏= Ursnif和GandCrab感染

国外安全机构Carbon Black的安全研究人员发现了第一个发布两个恶意软件威胁的恶意软件活动，定位了大约180种针对的是恶意VBS宏用户的MSWord文档。如果成功执行恶意VBS宏，将运行PowerShell脚本，然后使用一系列技术在目标系统上下载并执行Ursnif和GandCrab。PowerShell脚本在base64中编码，执行下一个感染阶段，负责下载主要恶意软件负载以对系统进行危害。其中，第一个有效负载是PowerShell单行程序，用于评估目标系统的体系结构，然后从Pastebin网站下载额外的有效负载，该负载在内存中执行，使传统的反病毒技术难以检测其活动。

这个PowerShell脚本是Empire Invoke-PSInject模块的一个版本，只有很少的修改，该脚本将采用base64编码的嵌入式PE [Portable Executable]文件，并将其注入当前的PowerShell进程。

最后在受害者的系统上安装一个GandCrab勒索病毒软件的变体，将锁定系统，直到受害者用数字货币支付赎金，题外话是就算受害者支付了赎金，是否能解开勒索软件的锁定，其实还是一个未知数，所以我经常说相信一个勒索者的信誉，那是对自己最大的伤害。

同时，恶意软件还从远程服务器下载Ursnif可执行文件，一旦执行，它将获取系统指纹，监视Web浏览器流量以收集新用户注册送47元彩金，然后将其发送给电子游艺免费申请彩金者的命令和控制(C&C)服务器。

MS Docs + VBS宏= Ursnif新用户注册送47元彩金窃取恶意软件

另外，Cisco Talos安全研究人员发现的第二个恶意软件活动利用包含恶意VBA宏的Microsoft Word文档，为Ursnif恶意软件的一种变体提供下载。此恶意软件电子游艺免费申请彩金还会在多个阶段危及目标系统，从网络钓鱼电子邮件到运行恶意PowerShell命令，以获得无文件持久性的电子游艺免费申请彩金，然后下载和安装Ursnif恶意软件窃取计算机新用户注册送47元彩金。

[PowerShell]命令有三个部分。第一部分创建一个函数，后用于解码base64编码的PowerShell。第二部分创建一个包含恶意DLL的字节数组，第三部分执行第一部分中创建的base64解码函数，其中base64编码的字符串作为函数的参数。返回的解码后的PowerShell随后由简写的Invoke-Expression(iex)函数执行。

一旦在受害计算机上执行，恶意软件将从系统收集信息，打包成CAB文件格式，然后通过HTTPS安全连接将其发送到其命令和控制服务器。Talos研究人员在他们的博客文章中发布了一份电子游艺免费申请彩金指标(IOC)列表，以及在受感染机器上删除的有效负载文件名称，可以帮助您在感染网络之前检测并阻止Ursnif恶意软件。

【编辑推荐】