GandCrab勒索病毒軟體和Ursnif病毒通過MS Word巨集傳播
據國外安全研究人員最近發現了兩個單獨的惡意軟體活動,其中一個是Ursnif資料竊取木馬和GandCrab勒索病毒軟體組合在野外分發,而第二個僅用Ursnif惡意軟體對使用者裝置進行感染。
這兩個惡意軟體活動似乎都是兩個獨立的網路犯罪集團操縱,但發現其中還是有許多相似之處。這兩種攻擊都是通過包含嵌入了惡意巨集的Microsoft Word文件附件,進行網路釣魚電子郵件開始,然後使用Powershell提供無檔案惡意攻擊。
Ursnif是一種用於竊取資料的惡意軟體,可以從受感染的計算機竊取敏感資訊,諸如收集銀行憑據、使用者活動、捕捉鍵盤資訊、系統和流程資訊以及部署其他後門程式等。GandCrab是一種勒索病毒軟體,去年早些時候被發現,像市場上的其他勒索軟體一樣,通過加密受感染系統上的檔案,勒索受害者以數字貨幣支付贖金,而且黑客開發者主要在跟蹤極其複雜的DASH中要求付款。
MS Docs + VBS巨集= Ursnif和GandCrab感染
國外安全機構Carbon Black的安全研究人員發現了第一個釋出兩個惡意軟體威脅的惡意軟體活動,定位了大約180種針對的是惡意VBS巨集使用者的MSWord文件。如果成功執行惡意VBS巨集,將執行PowerShell指令碼,然後使用一系列技術在目標系統上下載並執行Ursnif和GandCrab。PowerShell指令碼在base64中編碼,執行下一個感染階段,負責下載主要惡意軟體負載以對系統進行危害。其中,第一個有效負載是PowerShell單行程式,用於評估目標系統的體系結構,然後從Pastebin網站下載額外的有效負載,該負載在記憶體中執行,使傳統的反病毒技術難以檢測其活動。
這個PowerShell指令碼是Empire Invoke-PSInject模組的一個版本,只有很少的修改,該指令碼將採用base64編碼的嵌入式PE [Portable Executable]檔案,並將其注入當前的PowerShell程序。
最後在受害者的系統上安裝一個GandCrab勒索病毒軟體的變體,將鎖定系統,直到受害者用數字貨幣支付贖金,題外話是就算受害者支付了贖金,是否能解開勒索軟體的鎖定,其實還是一個未知數,所以我經常說相信一個勒索者的信譽,那是對自己最大的傷害。
同時,惡意軟體還從遠端伺服器下載Ursnif可執行檔案,一旦執行,它將獲取系統指紋,監視Web瀏覽器流量以收集資料,然後將其傳送給攻擊者的命令和控制(C&C)伺服器。
MS Docs + VBS巨集= Ursnif資料竊取惡意軟體
另外,Cisco Talos安全研究人員發現的第二個惡意軟體活動利用包含惡意VBA巨集的Microsoft Word文件,為Ursnif惡意軟體的一種變體提供下載。此惡意軟體攻擊還會在多個階段危及目標系統,從網路釣魚電子郵件到執行惡意PowerShell命令,以獲得無檔案永續性的攻擊,然後下載和安裝Ursnif惡意軟體竊取計算機資料。
[PowerShell]命令有三個部分。第一部分建立一個函式,後用於解碼base64編碼的PowerShell。第二部分建立一個包含惡意DLL的位元組陣列,第三部分執行第一部分中建立的base64解碼函式,其中base64編碼的字串作為函式的引數。返回的解碼後的PowerShell隨後由簡寫的Invoke-Expression(iex)函式執行。
一旦在受害計算機上執行,惡意軟體將從系統收集資訊,打包成CAB檔案格式,然後通過HTTPS安全連線將其傳送到其命令和控制伺服器。Talos研究人員在他們的部落格文章中釋出了一份攻擊指標(IOC)列表,以及在受感染機器上刪除的有效負載檔名稱,可以幫助您在感染網路之前檢測並阻止Ursnif惡意軟體。