安全企業(yè)趨勢(shì)科技披露惡意軟件DarkGate最新一波的攻擊行動(dòng)���,黑客疑似通過(guò)地下論壇或是數(shù)據(jù)外泄事故取得Skype帳密數(shù)據(jù)。
安全企業(yè)趨勢(shì)科技披露惡意軟件DarkGate最新一波的攻擊行動(dòng)����,黑客疑似通過(guò)地下論壇或是數(shù)據(jù)外泄事故取得Skype帳密數(shù)據(jù),在今年的7月至9月�����,利用兩個(gè)組織之間的信任關(guān)系,通過(guò)上述的Skype賬號(hào)���,向另一個(gè)組織的用戶發(fā)送的消息�����,其中是帶有VBA腳本的文件(名稱為<filename.pdfwww.skype>
一旦收到消息的用戶開文件�����、執(zhí)行惡意VBS����,計(jì)算機(jī)先是創(chuàng)建新文件夾并復(fù)制curl.exe���,接著從外部服務(wù)器下載AutoIT�,并執(zhí)行.AU3的腳本���,從而部署DarkGate�。研究人員指出��,由于攻擊者劫持了外泄的Skype賬號(hào),可對(duì)既有的消息進(jìn)行拆解��,并將附件文件設(shè)置為與對(duì)談內(nèi)容有關(guān)的名稱����,使得收到消息的用戶更難發(fā)現(xiàn)異狀而上當(dāng)。
值得留意的是����,為了回避偵測(cè),黑客利用了AutoIT的自動(dòng)化批次文件(AU3)來(lái)制作腳本���,在加載腳本的過(guò)程里�����,此批次文件會(huì)先偵測(cè)操作系統(tǒng)的環(huán)境��,必須符合兩項(xiàng)條件才會(huì)加載���。
(一)%Program Files%文件夾存在
(二)訪問(wèn)的用戶賬號(hào)名稱并非SYSTEM
一旦目標(biāo)計(jì)算機(jī)通過(guò)檢查��,黑客的程序便會(huì)尋找AU3文件并解密��,然后產(chǎn)生iexplore.exe、GoogleUpdateBroker.exe��、Dell.D3.WinSvc.UILauncher.exe的處理程序���,并注入Shell Code于內(nèi)存內(nèi)(In Memory)執(zhí)行DarkGate的惡意酬載�。
近期黑客傳播DarkGate的攻擊事件頻傳����,今年9月,安全企業(yè)Malwarebytes��、TrustSec發(fā)現(xiàn)此惡意程序的攻擊行動(dòng)���,黑客先后運(yùn)用了搜索引擎中毒(SEO Poisoning)�����、微軟即時(shí)通信軟件Teams來(lái)傳播�。
而對(duì)于受害的范圍���,根據(jù)研究人員的關(guān)注����,他們發(fā)現(xiàn)大部分都在美洲,其次是亞洲��、中東�、非洲地區(qū)。
研究人員除了看到黑客通過(guò)Skype的即時(shí)消息��,向用戶發(fā)送惡意VBS文件�、傳播DarkGate,他們也觀察到其他的手法��,并透露相關(guān)細(xì)節(jié)���。其中一種是前面提到的Teams即時(shí)消息�,但黑客發(fā)送的附件并非PDF文件�����,而是內(nèi)置Windows捷徑文件(LNK)的ZIP壓縮文件���。
一旦用戶依照指示點(diǎn)擊LNK文件��,計(jì)算機(jī)就會(huì)從特定的SharePoint網(wǎng)站其中��,下載另一個(gè)壓縮文件Significant companychanges September.zip���。這個(gè)ZIP文件內(nèi)置偽裝成PDF文件的LNK文件,若是執(zhí)行就有可能觸發(fā)VBS文件hm3.vbs�,利用AutoIT腳本下載DarkGate惡意程序代碼。
立即登錄��,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
