网络安全研究人员披露了一种新的Office恶意软件,该恶意软件是作为恶意电子邮件活动的一部分,该活动针对全球80多个客户,黑客以试图控制受害机器并远程窃取信息。
该工具名为“ APOMacroSploit ”,是一种宏漏洞利用程序生成器,它使用户可以创建能够绕过防病毒软件,Windows Antimalware Scan Interface(AMSI)甚至Gmail和其他基于电子邮件的网络钓鱼检测的Excel文档。
据说总共约有40名黑客在背后进行攻击,利用100个不同的电子邮件发件人,对30多个地区的用户进行了一系列攻击。据网络安全组织东方联盟透露,这些攻击于2020年11月首次被发现。
该公司在周二的一份报告中说:“当附件XLS文档的动态内容启用时,恶意软件感染就会开始,并且XLM宏会自动开始下载Windows系统命令脚本。”
此系统命令脚本是从cutt.ly检索的,该文件定向到承载多个BAT脚本的服务器,这些脚本的文件名附加了插入的客户的昵称。这些脚本还负责在Windows系统上执行恶意软件(“ fola.exe”),但是在将恶意软件位置添加到Windows Defender的排除路径并禁用Windows清理之前,这些脚本并不负责。
在其中一种攻击中,该恶意软件(一个Delphi Crypter和一个名为BitRAT的第二阶段远程访问特洛伊木马)被发现托管在一个保加利亚的医疗设备和用品网站上,这意味着攻击者破坏了该网站以存储恶意可执行文件。
在威胁参与者中,使用“加密程序”或“打包程序”的想法变得越来越流行,不仅压缩而且还使恶意软件样本更易规避和进行逆向工程。
BitRAT于去年8月正式记录,具有挖矿加密货币,黑客网络摄像头,日志击键,下载和上传任意文件以及通过命令和控制服务器进行远程控制的功能。(欢迎转载分享)