Windows系统被多级恶意软件攻击
据Fortinet的安全研究人员称,最近发现了一种多级恶意软件攻击,其主要目标是Windows系统。
该活动于8月被发现,采用了一系列能够以多种方式危及组织的恶意策略。
据Fortinet安全专家卡拉·林周一发表的一篇技术博客文章称,攻击始于一封网络钓鱼邮件,将恶意Word文档作为附件发送。此文档包含欺骗性图像和伪造的reCAPTCHA,以引诱收件人点击。一旦被激活,该文档就会触发一个嵌入的恶意链接,为攻击的进展奠定基础。
初始加载程序从特定URL下载,部署二进制填充规避策略,将文件大小增加到400 MB。然后释放一系列有效负载,包括用于键盘记录和密码恢复的OriginBotnet,用于加密货币盗窃的RedLine Clipper和用于收集敏感信息的AgentTesla。
卡拉·林解释说,每个攻击阶段都是精心策划的,以保持持久性并逃避检测。该恶意软件采用加密和解密技术,利用Base64编码,AES-CBC和AES-ECB算法来隐藏其活动。
RedLine Clipper是恶意组件之一,专门通过改变用户的系统剪贴板活动来窃取加密货币,将加密货币钱包地址替换为属于攻击者的地址。这种策略的目标是在交易过程中复制和粘贴钱包地址的用户,从而意外地将资金转移给攻击者。
AgentTesla是另一种恶意软件的变种,它被设计成记录击键、访问剪贴板和扫描磁盘以获取有价值的数据,同时与命令和控制(C2)服务器进行通信。它建立持久性,并可以通过各种通信渠道泄露数据。
第三个组件OriginBotnet收集敏感数据并与C2服务器通信,下载用于键盘记录和密码恢复的附加文件。它使用加密技术来混淆其流量。
林警告说:“这次攻击展示了复杂的技术,可以逃避检测,并在受损系统上保持持久性。”
组织应保持警惕,加强网络安全防御,并教育员工了解网络钓鱼电子邮件的危险,以有效降低风险。
共有 0 条评论