相关详细说明:
时间:2022-03-27 15:48:01 | 来源:行业动态
时间:2022-03-27 15:48:01 来源:行业动态
当使用电子邮件时, 一个陌生的文件扩展名--尤其是在ZIP文件中被单独压缩的文件常常是新的恶意软件的潜在迹象。这次也不例外, 某电子邮件声称是上个月的账单文件,其中包含压缩后的.url互联网快捷方式文件扩展名。这些快捷文件使用是已被证实的CVE-2016-3353漏洞的变体, 其中包含到 JavaScript文件 (以及多个最近发现的恶意Windows 脚本文件) 的链接。但是, 在这个例子中, URL的前缀是 "file://" 而非 "http://", 它通过 Samba 而不是通过 Web 浏览器获取它们。尽管在执行该脚本文件之前会提示用户,但是这仍然有助于在当前用户的配置文件下使用Windows脚本执行其中包含的恶意代码,而不必利用浏览器渗透。远程脚本文件为严重混淆,但是一旦用户允许执行该脚本,就会导致Quant Loader木马被下载和运行。
根据过去的攻击案例显示, Quant Loader是一种通常用于分发恶意软件 (如勒索软件和密码窃取程序) 的特洛伊木马程序。它在地下论坛中被销售, 允许用户使用管理面板在用户被感染后配置负载。在售的可配置恶意软件正在变得越来越普遍, 这使得恶意软件的开发与分发环节分离。
执行该Windows脚本后,该脚本的进程由多个子进程组成--每一个都持续不到一天时间。它们利用仿冒的电子邮件内容和附件文件名称(有些电子邮件只有主题没有正文),一个在 Samba 上提供恶意脚本文件的域, 以及从少数几个域分发Quant木马的变体。
Samba 共享可以公开访问, 但仍处于活动状态, 如下图所示。有趣的是, 试图通过 HTTP 访问 URL 后, 有时会导致重定向, 从而导致下载随机密钥生成器文件。幸运的是, 这些通常被大多数防病毒软件标记为恶意文件。基于我们对该恶意软件的追踪研究, 它并非每天出现,但是在今年三四月份曾多次出现。
虽然攻击者试图设计一种新的方法来诱使用户感染自己, 但这往往会让那些具备安全知识的人更容易地发现它们。避免点击电子邮件中您不熟悉的文件类型是一个很好的起点, 当然,禁止电子邮件中的脚本运行也同样重要。许多技术利用社交软件和未经训练或粗心的用户, 并不是高度复杂的攻击。
在线咨询
