時間:2018-01-22 來源:互聯網 瀏覽量:
這款惡意軟件的售價隻有75美元,而且它的作者還定期更新它的附加功能。圖片:iStock
黑客利用微軟辦公軟件的漏洞來傳播一種複雜的惡意軟件,這種惡意軟件可以竊取憑證、刪除額外的惡意軟件、加密貨幣的挖掘和進行分布式拒絕服務(DDoS)攻擊。
該惡意軟件自2016年以來一直活躍,盡管其功能強大,可在地下論壇上購買,隻要75美元。
FireEye的研究人員觀察到一項新的活動,試圖通過垃圾郵件將惡意軟件發送到電信、保險和金融行業的目標,這些攻擊都試圖利用微軟Office軟件中暴露的漏洞。
釣魚郵件的設計目的是與選定的目標相關,並包含一個包含惡意誘餌文檔的ZIP文件,該文件鼓勵用戶運行。一旦運行了這個Microsoft Office文檔文件,就會利用Microsoft Office漏洞,並運行基於PowerShell的有效負載,從而感染受害者。
攻擊者利用的漏洞之一是CVE-2017-11882。在去年12月公開的時候,它是Microsoft Office中的一個安全漏洞,它允許在打開惡意修改的文件時運行任意代碼。在此活動的情況下,漏洞允許通過惡意附件中的存儲URL來觸發額外的下載。下載文件中包含了可以刪除惡意軟件的PowerShell腳本。
惡意軟件運動還試圖利用CVE-2017-8759,這是微軟的一個弱點。NET框架處理不可信的輸入,並允許攻擊者控製受影響的係統。在這個實例中,附加到釣魚郵件的DOC文件包含一個嵌入的OLE對象,它會觸發下載一個存儲的URL來啟動PowerShell進程。該漏洞在9月被披露和修補。
參見:什麼是網絡釣魚?你需要知道的一切來保護你自己不被詐騙郵件和更多。
如果PowerShell腳本成功運行,它會注入代碼,從惡意的命令和控製服務器下載最終的有效負載,並將惡意軟件釋放到目標計算機上,同時允許攻擊者使用Tor隱藏他們的蹤跡。該惡意軟件還包含各種插件,允許攻擊者秘密地訪問存儲在機器上的幾乎所有類型的數據。
在這些惡意軟件中,攻擊者可以從流行的網絡瀏覽器竊取密碼,從FTP應用程序竊取密碼,從電子郵件帳戶竊取密碼。
這個惡意軟件還可以從加密貨幣的錢包中偷取,盜取超過200個流行軟件應用程序的許可證密鑰,包括Office、SQL Server、Adobe和Nero。
除了能夠從受感染的用戶那裏竊取信息外,攻擊者還可以將被感染的機器連接到一個更大的計算機網絡中,以幫助進行DDoS攻擊,並將這些機器作為一種用於挖掘加密貨幣的工具。這種惡意軟件在許多流行的地下論壇上都有廣告。
“威脅行為者最近發現了流行軟件——微軟辦公室的漏洞——隻會增加成功感染的可能性。”這些類型的威脅說明了為什麼確保所有的軟件都被完全更新是非常重要的,”FireEye研究人員Swapnil Patil和Yogesh倫敦在關於惡意軟件的博客文章中說。
用戶應該確保他們已經下載了所有發布的補丁,以保護CVE-2017-11882和CVE-2017-8759。
一位微軟發言人告訴獨家原創:“去年發布了安全更新,使用了這些更新的客戶,或者有自動更新功能的用戶都受到了保護。”