新恶意软件出现,Microsoft Office 365用户中招

新恶意软件出现,Microsoft Office 365用户中招

来自Ironscales(世界上第一个自动网络钓鱼预防、检测和响应平台)和Sandbox(人工智能恶意软件研究平台)的研究人员报告称,Microsoft Office 365用户会受到通过网络钓鱼电子邮件传播的新恶意软件变种的影响。研究人员于2018年11月29日发现了新的恶意软件变种。

背景

根据Ironscales和Sandbox的报告,新恶意软件是已知恶意软件“Formbook”的变体,这是一种用C语言和x86汇编语言编写的数据窃取和表单攫取工具。它是待售的恶意软件,可以被没有任何恶意软件开发技能的网络犯罪分子使用。恶意软件使用高级技术进行横向移动,窃取“explorer.exe”进程的已执行线程,以便执行自己的代码。“Formbook”的恶意软件系列早就使用了这种技术。

FormBook概述

FormBook是一个数据窃取和表单攫取工具,该工具自2016年初以来就开始在各种黑客论坛上开始出现,下图是FormBook的一则宣传广告。

新恶意软件出现,Microsoft Office 365用户中招

FormBook可以注入到各种进程中,通过安装键盘记录器功能,来窃取文件内容,并从HTTP会话中提取数据。FormBook还可以通过命令和控制服务器执行命令,这些命令包括指示FormBook下载和执行文件,启动进程,关闭并重启系统,并窃取cookie和本地密码。

FormBook最有趣的一个功能就是将Windows的ntdll.dll模块通过磁盘读取内存,并直接调用其导出的函数,这样在用户模式下的hook和API监控机制就都失效了。为此,FormBook开发者特意将此攻击技术称为“拉各斯岛方法”,据了解,有一种进程rootkit就这样叫。

除此之外,FormBook还具有持久性攻击的特点,可以随机地改变路径、文件名、文件扩展名和用于持久性的注册表项。

Formbook使用起来很容易,价格也便宜,这都使其成为网络犯罪分子的不二选择。

新恶意软件

发现时间:2018年11月30日

发现人员:Ironscales和Sandbox的研究人员

使用恶意的#RTF文件感染计算机,该恶意软件可以在用户不知情的情况下使用已知漏洞(CVE)来下载和执行恶意文件。这些漏洞最近在DOC文件上被广泛利用,因为微软很难修补EQNEDT32.EXE进程,因为他们可能已经丢失了这个进程的源代码,因此他们无法发布补丁来阻止攻击。

该恶意文件看起来是合法的.PNG文件,其中EXE文件保持隐藏状态(例如,URL https[:]//f[.]coka[.]la/2RTMHs[.]png是隐藏在.PNG文件下的EXE文件)。

隐藏的恶意内容可以很轻易的绕过常规代理服务器。

恶意软件是用C和x86汇编语言编写的。它依赖于高级方法来窃取“explorer.exe”的执行线程,以便执行自己的代码。

Ironscales和Sandbox的研究人员报告称,由于网络犯罪分子使用的先进技术,反病毒软件无法检测到该恶意软件,所以没有方法来监测它。另外,研究人员也未能找到受影响用户的地理分布。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133032.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code