TrickBot团伙运营商现在正在滥用Windows 10应用程序安装程序,将其BazarLoader恶意软件部署到目标系统上,这是一场针对性很强的垃圾邮件攻击。
BazarLoader(又名BazarBackdoor、BazaLoader、BEERBOT、KEGTAP和Team9Backdoor)是一种隐秘的后门木马,通常用于破坏高价值的目标 *** ,并将对受损设备的访问权出售给其他 *** 罪犯。
它还被用来提供额外的有效载荷,如cobalt strike信标,帮助威胁者访问受害者 *** ,并最终部署危险的恶意软件,包括但不限于Ryuk勒索软件。
SophosLabs首席研究员安德鲁·布兰特(Andrew Brandt)在最近的一次活动中发现,攻击者的垃圾邮件使用了威胁性语言,还冒充一名公司经理,用来引发受害者紧迫感,攻击者要求提供有关客户投诉电子邮件收件人的更多信息。
据称,该投诉可以从微软自己的云存储(位于*.web.core.windows.net域名上)上的网站以PDF格式进行审查。
为了增加诈骗效果,这些垃圾邮件攻击的接收端被双重诱惑,被诱使使用adobeview子域安装BazarLoader后门,这进一步增加了该计划的可信度。
布兰特说:“攻击者整天使用两个不同的网址来托管这个伪造的‘PDF下载’页面。”
“这两个网页都托管在Microsoft的云存储中,这会给它带来一种(并不切实的)真实感,.appinstaller和.appbundle文件都托管在每个网页存储的根目录中。”
但是,钓鱼网站上的“预览PDF”按钮不会指向PDF文档,而是打开一个带有ms appinstaller:前缀的URL。
单击按钮时,浏览器将首先显示一条警告,询问受害者是否允许该站点打开应用程序安装程序。但是,大多数人在地址栏中看到adobeview.*.web.core.windows.net域时可能会忽略它。
单击警告对话框中的“打开”将启动Microsoft的应用程序安装程序(自2016年8月发布Windows 10 1607版以来的内置应用程序),以假冒Adobe PDF组件的形式在受害者的设备上部署恶意软件,该软件作为AppX应用包发布。
一旦启动,应用安装程序将首先开始下载攻击者的恶意.appinstaller文件和一个附加的.appxbundle文件,其中包含名为Security.exe的最终有效负载,它嵌套在UpdateFix子文件夹中。
有效负载下载并执行一个额外的DLL文件,该文件启动并生成一个子进程,该子进程接着生成其他子进程,最终将恶意代码注入无头的基于Chromium的Edge浏览器进程,从而结束字符串。
在受感染的设备上部署后,BazarLoader将开始收集系统信息(例如,硬盘、处理器、主板、RAM、本地 *** 上具有面向公众IP地址的活动主机)。
该信息被发送到C&C服务器,伪装成通过HTTPS GET或POST头信息传递的cookie。
布兰特说:“把恶意软件放入应用程序安装包中在攻击中并不常见。不幸的是,现在这个 *** 已经被证明有用,它可能会引起更多的关注。”
“安全公司和软件供应商需要有适当的保护机制来检测和阻止它,并防止攻击者滥用数字证书。”
在收到Sophos的通知后,微软于11月4日关闭了攻击者用来存放这些攻击中的恶意文件的页面。
消息来源:BleepingComputer,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于 *** ;
转载请注明“转自 HackerNews.cc ” 并附上原文链接
美国联邦调查局(FBI)警告个人和公司当心商业电子邮件泄露(BEC)攻击。据估计,2016年6月至2021年12月期间,国内和国际因此的损失已达430亿美元,2019年7月至2021年12月期间此类攻击增加了65%。 BEC攻击通常针对执行合法资金转移请求的企业或个人。它们涉及通过社会工程、网络钓鱼...
数日前,微软发布了年度《Digital Defense Report》,指出对政府最大的数字威胁主要来自俄罗斯、朝鲜、伊朗等国家。今天,这家科技巨头再次发布了一份咨询报告,称多家参与国防的美国公司正被一个与伊朗有关的威胁行为者盯上。 图片来自于微软 微软发现的最新恶意活动集群目前被称为 DEV-0...
本周二,网络安全研究人员揭开了 4 个近期比较猖獗的新兴勒索软件团体,它们可能对企业和关键基础设施构成严重威胁。最近勒索软件事件激增的连锁反应表明,攻击者在从受害者那里获取报酬方面正变得越来越复杂,越来越有利可图。 在分享给 The Hacker News 的一份报告中,Palo Alto Net...
位于德国的IT安全研究机构AV-TEST发布了针对Windows 10家庭用户的2021年10月最佳反病毒程序评估报告。在这份报告中,该组织评测了来自不同公司的21个不同的反恶意软件程序,测试中还包括微软的Windows Defender。 结果,Windows Defender在这次评估中获得了非...
昨晚,据称是恶意软件开发者在国外 BleepingComputer 论坛上发帖,公开了 Maze、Egregor 和 Sekhmet 勒索软件操作的主解密密钥。经安全公司 Emsisoft 确认这些解密密钥是合法的,该公司勒索软件专家和威胁分析师 Brett Callow 表示解密密钥的发布是高压政...
援引《华盛顿邮报》报道,为了帮助寻找网络漏洞美国国防部已将大约 1.75 亿个 IP 地址池交给佛罗里达州的一家小公司控制。美国五角大楼发言人向《邮报》透露,作为试点工作的一部分已经于 1 月 20 日将这些 IP 地址交由 Global Resource Systems 公司管理,目的是“识别潜在...