攻击者正滥用Gophish传播远程访问木马程序
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
开源网络钓鱼工具Gophish被攻击者用于制作针对俄罗斯用户的DCRat和PowerRAT木马。攻击者伪装成Yandex Disk和VK链接,通过恶意Word文档和JavaScript感染用户,窃取敏感数据并远程控制系统。此活动在俄罗斯及周边国家被广泛监测。
🎯
关键要点
-
开源网络钓鱼工具Gophish被攻击者用于制作DCRat和PowerRAT木马,目标是俄罗斯用户。
-
攻击者伪装成Yandex Disk和VK链接,通过恶意Word文档和JavaScript感染用户。
-
恶意文档启用宏后,会执行Visual Basic提取HTA文件和PowerShell加载器。
-
HTA文件会配置Windows注册表,使其在用户登录时自动启动。
-
恶意软件收集驱动器序列号并连接到俄罗斯的远程服务器接收指令。
-
DCRat是一种模块化恶意软件,能够窃取敏感数据、捕获屏幕和击键。
-
恶意活动不仅在俄罗斯,还在乌克兰、白俄罗斯、哈萨克斯坦、乌兹别克斯坦和阿塞拜疆被监测到。
❓
延伸问答
Gophish工具被攻击者如何利用?
攻击者利用Gophish制作网络钓鱼邮件,伪装成Yandex Disk和VK链接,传播DCRat和PowerRAT木马。
DCRat和PowerRAT木马的功能是什么?
DCRat和PowerRAT能够窃取敏感数据、捕获屏幕和击键,并提供远程控制访问。
攻击者是如何感染用户设备的?
攻击者通过恶意Word文档和嵌入JavaScript的HTML文件感染用户,用户启用宏后执行恶意代码。
恶意软件如何在用户登录时自动启动?
恶意文档配置Windows注册表,使HTA文件在用户登录时自动启动。
这种攻击活动主要针对哪些国家?
这种攻击活动主要针对俄罗斯及周边国家,包括乌克兰、白俄罗斯、哈萨克斯坦、乌兹别克斯坦和阿塞拜疆。
Gophish的合法用途是什么?
Gophish允许组织测试其网络钓鱼防御措施,并启动基于电子邮件的跟踪活动。
🏷️
