攻击者正滥用Gophish传播远程访问木马程序
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
开源网络钓鱼工具Gophish被攻击者用于制作针对俄罗斯用户的DCRat和PowerRAT木马。攻击者伪装成Yandex Disk和VK链接,通过恶意Word文档和JavaScript感染用户,窃取敏感数据并远程控制系统。此活动在俄罗斯及周边国家被广泛监测。
🎯
关键要点
- 开源网络钓鱼工具Gophish被攻击者用于制作DCRat和PowerRAT木马,目标是俄罗斯用户。
- 攻击者伪装成Yandex Disk和VK链接,通过恶意Word文档和JavaScript感染用户。
- 恶意文档启用宏后,会执行Visual Basic提取HTA文件和PowerShell加载器。
- HTA文件会配置Windows注册表,使其在用户登录时自动启动。
- 恶意软件收集驱动器序列号并连接到俄罗斯的远程服务器接收指令。
- DCRat是一种模块化恶意软件,能够窃取敏感数据、捕获屏幕和击键。
- 恶意活动不仅在俄罗斯,还在乌克兰、白俄罗斯、哈萨克斯坦、乌兹别克斯坦和阿塞拜疆被监测到。
➡️
