欧洲黑客组织通过已签名的垃圾邮件来实现多阶段恶意软件加载

栏目: 编程工具 · 发布时间: 5年前

在过去的几个月时间里,研究人员观察到了多个新型的恶意垃圾邮件活动。在这些攻击活动中,攻击者使用了一种多阶段恶意软件加载器来传播GootKit银行木马,而这个新出现的恶意软件名叫JasperLoader。

欧洲黑客组织通过已签名的垃圾邮件来实现多阶段恶意软件加载

这个恶意软件加载器是思科Talos安全研究团队自2018年7月份至今,监测到的第三种加载 工具 了,而另外两款分别是 SmokeLoader 和Brushaloader。SmokeLoader,又名 Dofoil ,网络犯罪分子在去年主要使用它来传播勒索软件或恶意挖矿Payload; Brushaloader 发现于2019年年初,它可以使用类似PowerShell脚本这样的LotL工具来隐藏自己的攻击&感染痕迹。

恶意软件加载器对于那些想把恶意Payload安插到目标用户设备中的网络攻击者来说,绝对是必不可少的工具,因为他们可以通过将恶意软件安装至符合攻击条件的计算机设备来实现自己的犯罪利益最大化。

思科Talos安全研究团队目前正在跟踪的恶意软件加载程序名叫JasperLoader,这款恶意软件的活动在过去的几个月内一直非常频繁,而且影响范围也越来越大。在此攻击活动中,主要的攻击目标为中欧地区的用户,而且其中大部分受害者都来自意大利和德国。

欧洲黑客组织通过已签名的垃圾邮件来实现多阶段恶意软件加载

研究人员表示 :”JasperLoader使用了多阶段感染的攻击机制,并配合了多种代码混淆技术来增加安全检测和分析的难度。从感染过程的后期阶段来看,这款恶意软件的设计者既考虑到了软件弹性,也考虑到的可扩展性。”

在过去的几个月里,攻击者进行了多次恶意垃圾邮件活动来传播JasperLoader,并使用Gootkit银行木马(之前使用的是 DanaBotNeutrino漏洞利用工具Emotet 来实现传播和感染)来感染目标设备,最终窃取目标用户的敏感信息。

而且在此攻击活动中,恶意软件和Payload等攻击组件都经过了本地化处理,以匹配其攻击目标(欧洲地区的国家)。除此之外,用于实现JasperLoader初步感染的恶意附件还包含有VBS脚本以及DOCM文档,其中还嵌入有恶意VBA宏,它们主要负责初始化恶意Payload的下载进程。

研究人员还发现了包含恶意JS下载器的消息,这些消息大部分都伪装成了合法邮件或恶意文件附件。比如说,某些活动中攻击者会在垃圾邮件内嵌入ZIP文件,而这些文件标题一般是“发票”等字样,但其中包含的却是恶意JavaScript文件和XML文件。

欧洲黑客组织通过已签名的垃圾邮件来实现多阶段恶意软件加载

这些恶意垃圾邮件活动之所以非常危险,主要是因为攻击者使用了合法认证的电子邮件服务,比如说PEC电子认证服务,意大利、瑞士和香港等地区都回使用这个服务来对电子邮件进行签名认证,以帮助用户识别邮件的合法性。

JasperLoader恶意软件加载器在成功感染了目标设备之后,它会检测目标设备的地理位置,如果设备位于俄罗斯、乌克兰、白俄罗斯或中国的话,恶意软件将会立即停止运行。接下来,它会将自己的LNK快捷方式添加到受感染系统的启动项中,以此来实现持久化感染。

它还会生成一个BOT标识符,并根据这个标识符来向C2服务器发送或接收信息。当这个设备在攻击者的僵尸网络中完成注册之后,受感染设备会进入待机状态,并等待来自攻击者的控制命令。

JasperLoader还允许攻击者更新恶意软件加载程序,并运行基于PowerShell的任意系统命令。更重要的是,它会下载最终的Gootkit恶意软件Payload。

欧洲黑客组织通过已签名的垃圾邮件来实现多阶段恶意软件加载

* 参考来源: bleepingcomputer ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM


以上所述就是小编给大家介绍的《欧洲黑客组织通过已签名的垃圾邮件来实现多阶段恶意软件加载》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Reversing

Reversing

艾拉姆(Eilam,E.) / 韩琪、杨艳、王玉英、李娜 / 电子工业出版社 / 2007-9 / 79.00元

本书描述的是在逆向与反逆向之间展开的一场旷日持久的拉锯战。作者Eldad Eilam以一个解说人的身份为我们详尽地评述了双方使用的每一招每一式的优点与不足。 书中包含的主要内容有:操作系统的逆向工程;.NET平台上的逆向工程;逆向未公开的文件格式和网络协议;逆向工程的合法性问题;拷贝保护和数字版权管理技术的逆向工程;防止别人对你的代码实施逆向工程的各种技术;恶意程序的逆向工程;反编译器的基本......一起来看看 《Reversing》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码