最近，安全研究人員發(fā)現(xiàn)了兩個惡意軟件活動，其中一個分發(fā)Ursnif數(shù)據(jù)竊取木馬和GandCrab勒索軟件，而另一個只是用Ursnif惡意軟件感染受害者。

    這兩種攻擊都是從釣魚電子郵件開始，電子郵件中帶有嵌入了惡意宏的Microsoft Word文檔的附件，然后使用Powershell傳遞無文件惡意軟件。

    Ursnif是一種竊取數(shù)據(jù)的惡意軟件，通常可以從受感染的計算機(jī)竊取敏感信息，收集銀行賬號、瀏覽活動，收集擊鍵、系統(tǒng)信息，以及部署其他后門程序。

    GandCrab是一種普遍存在的勒索軟件威脅，像其他勒索軟件一樣，GandCrab加密受感染系統(tǒng)上的文件，并要求受害者用數(shù)字貨幣支付贖金來解鎖它們。它的開發(fā)者主要在DASH中要求付款，而DASH的跟蹤更為復(fù)雜。

    一旦用戶打開嵌入惡意宏的Word文檔，惡意VBS宏將運(yùn)行PowerShell腳本，然后使用一系列技術(shù)在目標(biāo)系統(tǒng)上下載并執(zhí)行Ursnif和GandCrab。

    PowerShell腳本采用base64編碼，它將執(zhí)行對目標(biāo)系統(tǒng)的感染，即負(fù)責(zé)下載惡意主代碼并危害系統(tǒng)。
    第一段執(zhí)行代碼是PowerShell單行程序，用于評估目標(biāo)系統(tǒng)的體系結(jié)構(gòu)，然后從Pastebin網(wǎng)站下載惡意代碼，該代碼在內(nèi)存中執(zhí)行，傳統(tǒng)的反病毒技術(shù)難以檢測其活動。

    惡意代碼在受害者的系統(tǒng)上安裝一個GandCrab勒索軟件的變體，將它鎖定在他們的系統(tǒng)之外，直到他們用數(shù)字貨幣支付贖金。
同時，惡意代碼還從遠(yuǎn)程服務(wù)器下載Ursnif可執(zhí)行文件，一旦執(zhí)行，它將采集系統(tǒng)指紋，監(jiān)視Web瀏覽器流量以收集數(shù)據(jù)，然后將其發(fā)送給攻擊者的命令和控制（C＆C）服務(wù)器。
 

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:網(wǎng)絡(luò)

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明