最近,安全研究人員發現了兩個惡意軟件活動,其中一個分發Ursnif數據竊取木馬和GandCrab勒索軟件,而另一個只是用Ursnif惡意軟件感染受害者。
這兩種攻擊都是從釣魚電子郵件開始,電子郵件中帶有嵌入了惡意宏的Microsoft Word文檔的附件,然后使用Powershell傳遞無文件惡意軟件。
Ursnif是一種竊取數據的惡意軟件,通常可以從受感染的計算機竊取敏感信息,收集銀行賬號、瀏覽活動,收集擊鍵、系統信息,以及部署其他后門程序。
GandCrab是一種普遍存在的勒索軟件威脅,像其他勒索軟件一樣,GandCrab加密受感染系統上的文件,并要求受害者用數字貨幣支付贖金來解鎖它們。它的開發者主要在DASH中要求付款,而DASH的跟蹤更為復雜。
一旦用戶打開嵌入惡意宏的Word文檔,惡意VBS宏將運行PowerShell腳本,然后使用一系列技術在目標系統上下載并執行Ursnif和GandCrab。
PowerShell腳本采用base64編碼,它將執行對目標系統的感染,即負責下載惡意主代碼并危害系統。
第一段執行代碼是PowerShell單行程序,用于評估目標系統的體系結構,然后從Pastebin網站下載惡意代碼,該代碼在內存中執行,傳統的反病毒技術難以檢測其活動。
惡意代碼在受害者的系統上安裝一個GandCrab勒索軟件的變體,將它鎖定在他們的系統之外,直到他們用數字貨幣支付贖金。
同時,惡意代碼還從遠程服務器下載Ursnif可執行文件,一旦執行,它將采集系統指紋,監視Web瀏覽器流量以收集數據,然后將其發送給攻擊者的命令和控制(C&C)服務器。
及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統
本文來源:網絡
如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。
電話:400-869-9193 負責人:張明
工商執照