无法检测到的后门伪装成 Windows 更新

无法检测到的后门伪装成 Windows 更新

端点安全 , 欺诈管理与网络犯罪 , 社会工程

与Linkedin职位申请鱼叉式钓鱼诱饵相关的活动

普拉吉特奈尔 (@prajeetspeaks) •
2022 年 10 月 19 日

一种鱼叉式钓鱼诱饵,用于使用以前无法检测到的 PowerShell 后门感染计算机。 (图片:SafeBreach)

一个以前未知的 PowerShell 后门将自己伪装成 Windows 更新过程的一部分。 研究人员说,后门脚本躲过了 VirusTotal 测试的安全供应商扫描仪的检测,似乎已经感染了至少 69 名受害者。

也可以看看: 明天直播小组 | 处理数据备份和恢复的更好方法

发现该后门程序的 SafeBreach Labs 的研究人员表示,该恶意软件似乎主要用于数据泄露。

八月份的另一位研究人员 显然 也发现了它,在推特上发布了它的活动截图。

“我们强烈建议所有安全团队使用我们确定的危害指标,”SafeBreach 安全研究主管 Tomer Bar 告诉信息安全媒体集团。

该公司的书面报告显示了以包含宏代码的恶意 Word 文档开始的独特攻击。 文件元数据显示,该文件与基于 LinkedIn 的鱼叉式网络钓鱼活动有关,该活动旨在向受害者发送工作申请。

在下一阶段,宏会删除一个 VBScript,该脚本会创建一个计划任务,伪装成 Windows 更新的一部分。 一个名为 updater.vbs 执行两个 PowersShell 脚本:一个用于连接命令和控制服务器,另一个用于执行命令并上传被盗数据。

这两个脚本都被混淆了,当 SafeBreach 通过 VirusTotal 运行它们时,它们没有被标记为恶意。

SafeBreach 说,后门背后的复杂编码人员确实犯了一个错误:他们使用了可预测的受害者 ID。 “当我们第一次测试它时,我们得到了 ID 号 70,这意味着在我们测试之前可能有 69 名受害者。” 这种可预测性使研究人员能够开发一个脚本,假装成每个受害者并查看结果。

脚本下载和执行的命令包括向攻击者的服务器上传活动进程列表、枚举本地用户、列出文件,甚至删除它们。


#无法检测到的后门伪装成 #Windows #更新

Leave a Reply

Your email address will not be published. Required fields are marked *