Unit 42研究人员发现DarkHydrus的新活动,被用于投放、安装RogueRobin木马新变种的文档一共收集到3个,最终安装了RogueRobin木马的新变种。这三个文档十分相似,都是带有.xlsm文件扩展名的宏启用Excel文档,但是都没有包含诱饵图像或消息提示用户启用宏。研究人员无法确定投放机制,因此无法确认这些投放文件在攻击中使用的确切时间。像大多数恶意文档一样,时间戳显示默认时间2006-09-16 00:00:00Z,但可以知道DarkHydrus在2018年12月和2019年1月创建了这些文档。新RogueRobin变体使用C#编写,使用与RogueRobin的PowerShell变体相同的命令来检测它是否在沙箱环境中执行,此外还对虚拟化环境,低内存和处理器计数进行检查。该木马还会检查调试器是否附加到其进程,并在检测到调试器存在时退出。
以色列网络安全公司Perception Point的事件响应小组拦截了一次利用开源Build Your Own Botnet(BYOB)框架的攻击,这是第一次发现BYOB框架被用于在野欺诈活动。研究人员表示,plug and play黑客工具包的普及程度越来越高是这些策略和技术越来越多的被网络犯罪分子使用的部分原因。分析发现,受害者收到一封带有HTML附件的电子邮件,其中包含模拟Office 365登录页面的网络钓鱼网站链接以及自动将恶意软件下载到受害者计算机的脚本代码。然后,有效载荷在连接到攻击者服务器之后等待命令。研究人员拦截了这些邮件,攻击者使用BYOB是为了大规模遥控。
安卓平台知名的文件管理器类应用ES 文件管理器日前被发现严重漏洞,该应用自2014年以来已经有超过5亿的下载量。研究人员发现该应用程序正在设备上运行一个Web服务器,该服务器使设备可能受到包括数据窃取等攻击,处于相同网络的任意用户可直接向安装 ES 管理器的设备发起攻击。研究人员发布了一个PoC演示了在同一网络上如何利用脚本获取设备上的图片、视频和应用程序,甚至从存储卡中获取文件。该脚本甚至允许攻击者远程启动受害者设备上的应用程序。
发表于 2019-1-20 21:24
