【安全资讯】攻击者使用虚假浏览器更新分发NetSupport RAT
SocGholish是自 2017 年以来一直活跃的 JavaScript 恶意软件框架。感染 SocGholish 可能会导致部署恶意软件,例如 Cobalt Strike 框架、勒索软件、信息窃取程序、远程访问木马等。研究人员发现了一个伪造的Chrome浏览器更新页面,下载的 zip 存档文件包含一个名为“AutoUpdater.js”的高度混淆的 JavaScript 文件,在执行 JavaScript 文件后,它会进一步启动 PowerShell 命令以从远程服务器下载并执行额外的 PowerShell 脚本,新的 PowerShell 脚本包含 Base64 编码的流,解压缩的 Base64 解码数据包含嵌入的有效负载和代码,用于释放名为“whost.exe”的“NetSupport RAT”应用程序。攻击者可以利用NetSupport执行多种恶意活动,如监控受害者的系统、传输文件、启动应用程序、识别系统位置、远程检索库存和系统信息等。SocGholish框架感染链如下图:
失陷指标(IOC)19
这么重要的IOC情报,赶紧
登录
来看看吧~
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享