Asruex后门变种利用MS Office和Adobe旧漏洞

关注 2019-08-26 06:26:34 查看数 12793 ,评论数 0 工具 资讯


最近,研究人员发现了Asruex的变种,该变种专门利用Microsoft Office和Adobe的漏洞来感染系统,安装后门。


Asruex最初出现在2015年,该特洛伊木马最初将恶意快捷方式文件发送给受害者,该特洛伊木马会下载隐藏在图像文件中的Asruex有效负载,以感染企业网络。


攻击者利用一系列攻击媒介,包括滥用被盗证书、使用.HTA文件和酒店Wi-Fi网络来攻击受害者。


趋势科技的研究人员表示,在网络钓鱼活动中使用的恶意.PDF文件中发现的新Asruex变种使用了CVE-2012-0158和CVE-2010-2883。


CVE-2012-0158是影响Microsoft Office的关键漏洞。2012年,该漏洞被利用来通过系统状态损坏进行远程代码执行(RCE)攻击。 CVE-2010-2883是2010年披露的一个的安全漏洞,是Adobe Reader和Acrobat堆栈缓冲区溢出问题,可用于执行任意代码或导致拒绝服务。


尽管补丁已经提供多年,Asruex还是利用这些漏洞破坏了在Windows和Mac机器上运行旧版本软件的系统。“由于这种独特的感染能力,安全研究人员可能不会考虑检查Asruex感染的文件,而是主要关注其后门能力,”趋势科技表示。


.PDF文件样本本身并不是恶意的,而是Asruex木马的载体。如果由旧版本的Reader和Acrobat打开,文件内容会正常显示,但恶意软件将在后台开始运行。受感染的Word文件也将以相同的方式起作用,恶意文件也可能显示为标准可执行文件。


一旦在目标系统上执行,Asruex将检查系统数据,包括运行进程、模块版本、文件名和磁盘名称中的某些字符串,以确定恶意软件是否在沙箱环境中运行。 如果通过了这些检查,就开始安装恶意软件的后门并窃取数据。Asruex也可用于持续的秘密监视。


这种情况值得注意的是它使用了五年前发现(和修补)的漏洞,这暗示其背后的网络犯罪分子已经设计了变种,知道用户还没有修补或更新到新版本的Adobe Acrobat和Adobe Reader软件。


由Zscaler ThreatLabZ研究人员在最近发现的一种新特洛伊木马也利用类似的漏洞。本月早些时候,该团队表示,这个名为Saefko的新恶意软件正在地下论坛上出售,并包含一系列银行详细信息、在线游戏账户和加密货币钱包的工具。

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...