湖北广播网 > 教育频道 > 出国 > 正文

两个截然不同的活动通过武器化文档传播勒索软

2019-01-27 09:50 来源:湖北广播网

安全专家分发Ursnif恶意软件的两个截然不同的广告系列,其中一个也发布了GandCrab 勒索软件。

专家指出,这两个活动背后的网络犯罪团伙是不同的,但他们发现了许多相似之处。

攻击者使用武器化的Microsoft Word文档传播网络钓鱼邮件,并利用Powershell提供无文件恶意软件。

Ursnif是一种自2017年11月开始传播的银行木马,它还能够监控浏览活动,收集击键,系统和流程信息,并提供额外的有效负载。

GandCrab 是自2018年初以来一直活跃的勒索软件。

Carbon Black的安全专家观察了近180种变体与其中一个广告系列相关联的MS Word文档。

“这项活动最初是通过网络钓鱼电子邮件进行的,其中包含一个带有嵌入式宏的附加Word文档,Carbon Black在野外大约有180种变种。”Carbon Black报道。

“宏会调用编码的PowerShell脚本,然后使用一系列技术来下载和执行Ursnif和“

Carbon Black的安全研究人员发现了第一个发布两个恶意软件威胁的恶意软件活动,他们在野外定位了大约180种MS Word文档,这些文档针对的是恶意VBS宏用户。

一旦受害者执行了恶意VBS宏,它就会运行PowerShell脚本,该脚本使用一系列技术来下载和执行Ursnif和。

PowerShell脚本在base64中编码,它执行下一阶段的恶意软件,即PowerShell单行程序,从Pastebin网站下载最终的恶意软件负载。年。

第一个有效负载是PowerShell单行程序,用于评估目标系统的体系结构,然后从Pastebin网站下载额外的负载,该负载在内存中执行,

“一旦下载了pastebin.com帖子的原始内容,该数据也将在内存中执行。在此活动期间获得的变体中,该文件包含大约2800行的PowerShell脚本。“读取分析。

“这个PowerShell脚本是Empire Invoke-PSInject模块的一个版本,只有很少的修改,”Carbon Black的研究人员说。“该脚本将采用已经base64编码的嵌入式PE [Portable Executable]文件,并将其注入当前的PowerShell进程。”

最终的有效负载在受感染的系统上安装了GandCrab勒索软件的变体,它还从远程服务器下载Ursnif可执行文件并执行它以收集系统信息并监控受害者的活动。

“然而,在此活动期间,bevendbrec [。] com网站上托管了许多Ursnif变种。Carbon Black能够发现大约120种不同的Ursnif变种,这些变种来自域名iscondisth [。] com和bevendbrec [。] com,“继续分析。

思科Talos也发现了Ursnif恶意软件的活动,发现了使用不同变体的第二个活动。

“第三部分执行第一部分中创建的base64解码函数,其中base64编码的字符串作为函数的参数。随后通过简写的Invoke-Expression(iex)函数执行返回的解码PowerShell。

与其他变体一样,此变体收集有关受感染系统的信息。威胁存储为CAB文件格式,然后通过HTTPS连接发送C2服务器。

12月初,安全专家在-Cybaze ZLAB发现了一种新的Ursnif恶意软件变种,它通过一个攻击意大利用户运动。Yoroi-Cybaze ZLAB的研究人员分析了几封具有以下内容的恶意电子邮件:

主题:“VS Spedizione DHL AWB 94856978972 proveniente dalla GRAN BRETAGNA AVVISO DI GIACENZA”附件:“GR930495-30495.zip”附件的内容是.js文件,启动时,通过从Internet下载其他组件来启动感染。

整个感染由四个阶段组成:产生网络噪声以隐藏攻击者的基础设施,下载可执行的有效载荷,实现通过安装的注册表项以及Ursnif模块的检查和下载。

回到当前的活动,两个分析都包括妥协指标(IoC)。

© 湖北广播网版权所有 湖北广播网 法律顾问 移动端 邮箱