免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表本号观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和本号无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与本号一律不予承担。
1疑似越南黑客通过木马化黑客工具传播njRat
CybereasonNocturnus发现了一项已经持续了几年的攻击活动。攻击者利用njRat来木马化多种黑客和渗透测试工具,并在各种论坛和网站上发布,一旦文件被下载并打开,njRat将伪装成合法的Windows应用程序(例如explorer.exe)运行,最终攻击者将能够完全接管受害者的机器。研究人员发现njRat会连接两个IP地址,其中一个是攻击者入侵易受攻击的WordPress网站,用来托管njRat载荷,另一个由越南人注册。许多不断更新的木马化工具样本是从越南IP上传VT进行检测,因此研究人员认为该活动黑客疑似位于越南。
2AZORult伪装成冠状病毒地图应用程序传播
ReasonLabs的网络安全研究员发现一个武器化的冠状病毒地图应用程序,用于传播AZORult恶意软件,目的是窃取存储在用户浏览器中的用户名、密码、信用卡号等敏感信息。该恶意程序带有精心制作的GUI,使其看起来非常令人信服,程序运行时,GUI窗口会加载来自网络的信息。AZORult使用多层打包和多子进程技术,以反分析,使用计划任务来维持持久性。
3研究人员发布针对TrickBot变种的技术分析
FortiGuard实验室捕获到了一个OfficeWord样本,其用于传播TrickBot的新变种。打开文档后,将要求受害者单击“启用内容”来执行恶意宏,宏受密码保护。Label控件中包含恶意JS代码,VBA代码将提取.bat文件和.jse文件到受害者系统,启动.bat文件用来运行.jse文件,其包含的JS代码被严重混淆,以保护API函数调用和常量字符串不被识别。JS代码执行时,将大约等待一分钟,以绕过任何自动分析工具。然后将执行命令以获取所有正在运行的进程,将所有这些获得的进程的名称放在一起,并检查其长度是否小于,如果是,将停止执行。JS代码将从服务器上下载TrickBot有效载荷,其为在rundll32.exe中执行的DLL文件,并保持持久性。TrickBot将命令发送到C&C服务器并下载模块,从C&C返回的大多数数据都经过加密。
4虚假HIV测试结果钓鱼邮件传播KoadicRAT
Proofpoint的研究人员观察到,攻击者冒充范德比尔特大学医学中心(VanderbiltUniversityMedicalCenter),发送假的HIV检测结果邮件,试图引诱收件人打开邮件附件查看结果信息。附件为恶意Excel文档,打开后将提示用户启用宏,恶意宏将下载KoadicRAT,允许攻击者完全控制用户的系统。
5网络钓鱼诈骗利用聊天机器人来引导受害者
MalwareHunterTeam最近发现了一种新的网络钓鱼诈骗,目标是俄罗斯用户,声称要退还,欧元(2,美元)未使用的互联网和移动电话服务,其利用一个伪装成客服人员的聊天机器人来引导受害者完成各种形式的填写,以便攻击者可以窃取其信息、信用卡号和银行账户信息。在受害者填写姓名、地址、护照号码的最后四位数字和付款细节等信息提交后,伪装的客服人员将提示在系统中找不到的信息,需要重新提交信息,这样确保受害者提交了正确的信息。然后,它继续将受害者重定向到另一个网络钓鱼站点,要求受害者提供其姓名、电话号码和信用卡信息。
6REVISTAFACTUM遭为期一周的网络攻击
REVISTAFACTUM杂志因谴责萨尔瓦多总统的腐败而遭受了为期一周的网络攻击。REVISTAFACTUM首先遭受拒绝服务(DDoS)攻击,最终导致该杂志的网站下线。萨尔瓦多政府还禁止REVISTAFACTUM参加新闻发布会,并对其进行诽谤。REVISTAFACTUM称因调查披露萨尔瓦多总统纳伊布·巴克尔(NayibBukele)的矛盾和缺乏透明度,而导致该后果。Qurium通过取证将攻击者定位在UNIVO大学。