恶意RTF文档提供信息窃取程序

  • 时间:
  • 浏览:53
  • 来源:快三分分彩
恶意RTF文档提供信息窃取程序 思科Talos安全研究人员警告说,新发现的感染活动正在利用恶意RTF文件向不知情的受害者提供窃取信息的特洛伊木马。

作为攻击的一部分,攻击者使用了一个众所周知的漏洞利用程序。用于恶意软件传递的链,但已对其进行了修改,因此不会触发反病毒检测。此活动中的最终有效负载是Agent Tesla Trojan以及其他恶意软件系列,包括Loki信息窃取者。

此操作中使用的恶意文档滥用Microsoft修补一年的CVE-2017-11882漏洞以前交付代理特斯拉和Loki偷窃者。安全研究人员发现,同样的基础设施也被用于分发其他恶意软件系列作为Gamarue。

在分析时,提供代理特斯拉的RTF文件在多引擎防病毒扫描网站VirusTotal上几乎没有检测到,思科透露。

感染链滥用脆弱的等式Office的编辑器组件下载文件并创建scvhost.exe进程,该进程又创建自己的另一个实例。接下来,观察到典型的命令和控制(C C)流量。

虽然RTF文件中不支持宏语言,但Microsoft对象链接和嵌入(OLE)对象以及Macintosh Edition Manager订阅者对象都是。因此,攻击者可以将对象嵌入到RTF中以通过OLE函数利用公式编辑器,并且还可以对文档本身应用高级混淆以避免检测。

[12]“我们还看到其他几个使用完全相同的感染链的活动,但是将Loki作为最终的有效载荷,”思科解释说。

特工Tesla Trojan不仅设计了信息窃取功能,而且还设计了能够将其他恶意软件下载到受感染的计算机上。该威胁由一家提供灰色软件产品的公司出售,该公司声称该程序专为密码恢复和儿童监控而设计。

但是,恶意软件可以窃取超过25种常见应用程序的密码,还包括一系列密码rootkit功能,如键盘记录,剪贴板窃取,屏幕截图捕获和网络摄像头访问。

对于密码被盗,恶意软件针对的应用程序,如Chrome,Firefox,Internet Explorer,Yandex,Opera,Outlook,Thunderbird,IncrediMail,Eudora,FileZilla,WinSCP,FTP Navigator,Paltalk,Internet Download Manager,JDownloader,Apple keychain,SeaMonkey,Comodo Dragon,Flock和DynDNS等。

The恶意软件还包括对SMTP,FTP和HTTP exfiltration的支持,但它只使用HTTP POST方法。数据被加密发送到C C.

“由于其复杂性,此恶意软件背后的演员使用了RTF标准,并使用Microsoft Office漏洞的修改漏洞来下载Agent Tesla和其他恶意软件。目前还不完全清楚演员是否手动改变了漏洞利用,或者他们是否使用工具来生成shellcode,“思科总结道。

相关:发现新特工Tesla间谍软件变种

相关:恶意RTF持续要求用户启用宏

猜你喜欢

恶意软件攻击后,FedEx利润达到3亿美元

恶意软件攻击后,FedEx利润达到3亿美元6月份遭遇国际快递服务公司TNTExpress的恶意软件攻击对联邦快递在最近一个季度的利润产生了大约3亿美元的负面影响。TNT快递,联

2019-01-26

恶意软件崛起

恶意软件崛起恶意广告攻击继续上升。品牌和消费者受到威胁。热门网站,博客和广告网络正迅速成为网络犯罪分子,身份窃贼和黑客窃取消费者信息和分发恶意内容的首选方式。今天最常见的攻击是

2019-01-26

恶意软件和蚊子有什么共同之处?比你想象的还要多。

恶意软件和蚊子有什么共同之处?比你想象的还要多。像蚊子一样,恶意软件无处不在,并且是一个强大的对手......恶意软件似乎无处不在,战斗难度极大。它可以采取多种形式,并且越来越

2019-01-26

恶意软件利用幽灵,崩溃的缺陷涌现

恶意软件利用幽灵,崩溃的缺陷涌现研究人员发现了130多个恶意软件样本,旨在利用最近披露的Spectre和MeltdownCPU漏洞。虽然大多数样本似乎处于测试阶段,但我们很快就

2019-01-26

恶意软件创建者承认构建和销售LuminosityLink RAT

恶意软件创建者承认构建和销售LuminosityLinkRAT一名肯塔基州男子在美国法院承认开发和分发名为LuminosityLink的远程访问木马。21岁的肯塔基州斯坦福大学

2019-01-26