【安全资讯】W2表格网络钓鱼活动传播Brute Ratel和Latrodectus恶意软件

概要：

Rapid7公司近日发布警告，指出一场针对在线寻找W2税表用户的新型网络钓鱼活动。攻击者利用伪造的IRS网站，通过Bing搜索结果诱导用户下载恶意文件。这一事件揭示了网络钓鱼活动的新手段及其潜在的严重后果。

主要内容：

这次网络钓鱼活动的攻击链始于用户在Bing上搜索“W2表格”，随后被引导至域名appointopia[.]com。该网站会将用户重定向到一个伪造的IRS网站hxxps://grupotefex[.]com/forms-pubs/about-form-w-2/。用户在解决该网站上的CAPTCHA后，会下载一个来自Google Firebase URL的恶意JS文件。

该JS文件旨在从hxxp://85.208.108[.]63/BST.msi下载并执行一个MSI包。在另一事件中，恶意载荷从hxxp://85.208.108[.]30/neuro.msi下载。一旦执行，JavaScript会启动一条复杂的攻击链：首先下载并安装Brute Ratel Badger，一个用于命令和控制的后期利用框架，给予攻击者对受害者机器的远程访问权限。随后，攻击者部署Latrodectus恶意软件，该软件能够窃取敏感数据并执行进一步的恶意操作。

Rapid7的分析显示，JS文件包含隐藏在注释行中的代码，这是一种规避杀毒软件检测的技术。JS文件还带有一个由Brass Door Design Build Inc.签发的有效Authenticode证书，利用信任机制。该JS文件使用ScriptHandler类提取并执行隐藏代码，使脚本看似无害但实际进行恶意活动。

此外，neuro.msi文件包含一个DLL文件capisp.dll，该文件与VLC媒体播放器相关，被放置在AppData/Roaming文件夹中并通过rundll32.exe执行。该DLL文件包含一个加密资源，一旦通过XOR例程解密，便会联系多个恶意URL。