最近，安全研究人員發(fā)現(xiàn)了兩個(gè)惡意軟件活動(dòng)，其中一個(gè)分發(fā)Ursnif數(shù)據(jù)竊取木馬和GandCrab勒索軟件，而另一個(gè)只是用Ursnif惡意軟件感染受害者。

    這兩種攻擊都是從釣魚(yú)電子郵件開(kāi)始，電子郵件中帶有嵌入了惡意宏的Microsoft Word文檔的附件，然后使用Powershell傳遞無(wú)文件惡意軟件。

    Ursnif是一種竊取數(shù)據(jù)的惡意軟件，通?？梢詮氖芨腥镜挠?jì)算機(jī)竊取敏感信息，收集銀行賬號(hào)、瀏覽活動(dòng)，收集擊鍵、系統(tǒng)信息，以及部署其他后門程序。

    GandCrab是一種普遍存在的勒索軟件威脅，像其他勒索軟件一樣，GandCrab加密受感染系統(tǒng)上的文件，并要求受害者用數(shù)字貨幣支付贖金來(lái)解鎖它們。它的開(kāi)發(fā)者主要在DASH中要求付款，而DASH的跟蹤更為復(fù)雜。

    一旦用戶打開(kāi)嵌入惡意宏的Word文檔，惡意VBS宏將運(yùn)行PowerShell腳本，然后使用一系列技術(shù)在目標(biāo)系統(tǒng)上下載并執(zhí)行Ursnif和GandCrab。

    PowerShell腳本采用base64編碼，它將執(zhí)行對(duì)目標(biāo)系統(tǒng)的感染，即負(fù)責(zé)下載惡意主代碼并危害系統(tǒng)。
    第一段執(zhí)行代碼是PowerShell單行程序，用于評(píng)估目標(biāo)系統(tǒng)的體系結(jié)構(gòu)，然后從Pastebin網(wǎng)站下載惡意代碼，該代碼在內(nèi)存中執(zhí)行，傳統(tǒng)的反病毒技術(shù)難以檢測(cè)其活動(dòng)。

    惡意代碼在受害者的系統(tǒng)上安裝一個(gè)GandCrab勒索軟件的變體，將它鎖定在他們的系統(tǒng)之外，直到他們用數(shù)字貨幣支付贖金。
同時(shí)，惡意代碼還從遠(yuǎn)程服務(wù)器下載Ursnif可執(zhí)行文件，一旦執(zhí)行，它將采集系統(tǒng)指紋，監(jiān)視Web瀏覽器流量以收集數(shù)據(jù)，然后將其發(fā)送給攻擊者的命令和控制（C＆C）服務(wù)器。
 

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來(lái)源:網(wǎng)絡(luò)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明