共计 1168 个字符,预计需要花费 3 分钟才能阅读完成。
网络安全钻研人员披露了一种新型 Office 恶意软件,该恶意软件是作为歹意电子邮件流动的一部分散发的,该流动针对寰球 80 多个客户,以试图管制受益计算机并近程窃取信息。
这个名为“APOMacroSploit”的工具是一种是一种宏破绽利用程序生成器,用户能够创立一个 Excel 文档,从而绕过防病毒软件、Windows Antimalware Scan Interface(AMSI)),甚至 Gmail 和其余基于电子邮件的钓鱼检测。
APOMacroSploit 被认为是两个法国黑客 Apocaliptique 和 Nitrix 的作品。据估计,他们在不到两个月的工夫外在 Hackforums 上发售该产品至多赚了 5000 美元。
据说总共有大概 40 名黑客参加了这次口头,他们利用 100 个不同的电子邮件发送者发动了一系列针对 30 多个国家用户的攻打。网络安全公司 Check Point 称,这些攻打在 2020 年 11 月底首次被发现。
Check Point 在一份报告中示意:“当 XLS 文档的动静内容启用,XLM 宏主动开始下载 Windows 系统命令脚本时,恶意软件感化就开始了。”
这个系统命令脚本是从 cutt.ly 中检索到的,它指向托管多个 BAT 脚本的服务器,这些 BAT 脚本将客户的昵称附加到文件名中。这些脚本还负责在 Windows 零碎上执行恶意软件(“fola.exe”),但必须在 Windows Defender 文件的排除门路中增加恶意软件地位,并禁用 Windows 清理性能。该恶意软件是一个 Delphi Crypter 和一个名为 BitRAT 的第二阶段近程拜访特洛伊木马
在其中一次攻打中,人们在保加利亚的一个医疗设施和用品网站上发现了这种恶意软件。攻击者入侵了该网站,存储了歹意可执行文件。
应用“crypters”或“packers”的想法在威逼参与者中越来越风行,这不仅能够压缩恶意软件样本,而且能够使恶意软件样本更具躲避性和逆向工程性。
去年 8 月正式记录在案的 BitRAT 提供了以下性能: 开掘加密货币、入侵网络摄像头、记录击键、下载和上传任意文件,以及通过命令管制服务器近程控制系统。在这种状况下,服务器解决了保加利亚一个非法视频监控零碎网站的子域名问题。
在 Check Point 的进一步考察中,他们追踪了这两家运营商留下的数字形迹,最终导致钻研人员揭发了 Nitrix 的实在身份。他在 Twitter 上公布了本人 2014 年 12 月购买的一张演唱会门票的照片,并走漏了本人的实在姓名。
Nitrix 是一位来自 Noisy-Le-Grand 的软件开发人员,并领有 4 年的软件开发教训。而 Apocaliptique 的身份还未确定,依据他应用的其余名称“apo93”和“apocaliptique93”,钻研人员狐疑他是法国居民。
Check Point 公司示意,他们曾经向执法部门通报了攻击者的身份。
