【安全资讯】W2表格网络钓鱼活动传播Brute Ratel和Latrodectus恶意软件

安恒恒脑 2024-07-28 19:01:17 1104人浏览

概要:

Rapid7公司近日发布警告,指出一场针对在线寻找W2税表用户的新型网络钓鱼活动。攻击者利用伪造的IRS网站,通过Bing搜索结果诱导用户下载恶意文件。这一事件揭示了网络钓鱼活动的新手段及其潜在的严重后果。

主要内容:

这次网络钓鱼活动的攻击链始于用户在Bing上搜索“W2表格”,随后被引导至域名appointopia[.]com。该网站会将用户重定向到一个伪造的IRS网站hxxps://grupotefex[.]com/forms-pubs/about-form-w-2/。用户在解决该网站上的CAPTCHA后,会下载一个来自Google Firebase URL的恶意JS文件。

该JS文件旨在从hxxp://85.208.108[.]63/BST.msi下载并执行一个MSI包。在另一事件中,恶意载荷从hxxp://85.208.108[.]30/neuro.msi下载。一旦执行,JavaScript会启动一条复杂的攻击链:首先下载并安装Brute Ratel Badger,一个用于命令和控制的后期利用框架,给予攻击者对受害者机器的远程访问权限。随后,攻击者部署Latrodectus恶意软件,该软件能够窃取敏感数据并执行进一步的恶意操作。

Rapid7的分析显示,JS文件包含隐藏在注释行中的代码,这是一种规避杀毒软件检测的技术。JS文件还带有一个由Brass Door Design Build Inc.签发的有效Authenticode证书,利用信任机制。该JS文件使用ScriptHandler类提取并执行隐藏代码,使脚本看似无害但实际进行恶意活动。

此外,neuro.msi文件包含一个DLL文件capisp.dll,该文件与VLC媒体播放器相关,被放置在AppData/Roaming文件夹中并通过rundll32.exe执行。该DLL文件包含一个加密资源,一旦通过XOR例程解密,便会联系多个恶意URL。
网络钓鱼 恶意软件 数据泄露 金融 IT行业
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。