最近,安全研究人员发现了两个恶意软件活动,其中一个分发Ursnif数据窃取木马和GandCrab勒索软件,而另一个只是用Ursnif恶意软件感染受害者。
这两种攻击都是从钓鱼电子邮件开始,电子邮件中带有嵌入了恶意宏的Microsoft Word文档的附件,然后使用Powershell传递无文件恶意软件。
Ursnif是一种窃取数据的恶意软件,通常可以从受感染的计算机窃取敏感信息,收集银行账号、浏览活动,收集击键、系统信息,以及部署其他后门程序。
GandCrab是一种普遍存在的勒索软件威胁,像其他勒索软件一样,GandCrab加密受感染系统上的文件,并要求受害者用数字货币支付赎金来解锁它们。它的开发者主要在DASH中要求付款,而DASH的跟踪更为复杂。
一旦用户打开嵌入恶意宏的Word文档,恶意VBS宏将运行PowerShell脚本,然后使用一系列技术在目标系统上下载并执行Ursnif和GandCrab。
PowerShell脚本采用base64编码,它将执行对目标系统的感染,即负责下载恶意主代码并危害系统。
第一段执行代码是PowerShell单行程序,用于评估目标系统的体系结构,然后从Pastebin网站下载恶意代码,该代码在内存中执行,传统的反病毒技术难以检测其活动。
恶意代码在受害者的系统上安装一个GandCrab勒索软件的变体,将它锁定在他们的系统之外,直到他们用数字货币支付赎金。
同时,恶意代码还从远程服务器下载Ursnif可执行文件,一旦执行,它将采集系统指纹,监视Web浏览器流量以收集数据,然后将其发送给攻击者的命令和控制(C&C)服务器。
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:网络
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照