新型钓鱼活动传播PureHVNC等恶意软件,瞄准敏感数据
💡
原文中文,约1900字,阅读约需5分钟。
📝
内容提要
FortiGuard实验室发现了一种复杂的网络钓鱼活动,利用多阶段执行流程和规避技术传播恶意软件。攻击使用混淆技术和编码技巧,以及Python混淆器和shellcode加载器。主要有效载荷是PureHVNC,专门针对加密货币钱包和密码管理器等高价值资产。活动还部署了两个插件,用于远程控制受害者系统和执行附加文件。FortiGuard实验室建议组织加强员工的网络安全意识,并采取措施检测和缓解多阶段攻击。
🎯
关键要点
- FortiGuard实验室发现了一种复杂的网络钓鱼活动,利用多阶段执行流程和规避技术传播恶意软件。
- 攻击流程以伪装成客户服务查询的电子邮件为诱饵,包含恶意HTML附件。
- 钓鱼邮件附件中的HTML文件利用'search-ms'功能查询恶意LNK文件,伪装成无害的PDF图标。
- 恶意批处理文件经过深度混淆,使用编码技巧和字符串混淆,增加分析难度。
- 攻击通过PowerShell下载并解压缩包含Python环境和恶意程序的ZIP文件。
- 主要有效载荷是PureHVNC,专门针对加密货币钱包和密码管理器等高价值资产。
- PureHVNC使用AES加密和Gzip解压缩,执行一系列保持持久性和收集情报的操作。
- 活动中部署的两个插件分别用于远程控制受害者系统和执行附加文件。
- FortiGuard实验室建议组织加强员工的网络安全意识,采取措施检测和缓解多阶段攻击。
➡️
