新攻擊活動正利用惡意RTF文件傳播多種資訊竊取類病毒
思 科Talos團隊在本週一(10月15日)通過一篇博文發出警告稱,新發現的計算機病毒感染活動正在利用惡意RTF文件向不知情的受害者傳播資訊竊取類病毒。
作為攻擊的一部分,攻擊者使用了已知的漏洞利用指令碼來進行計算機病毒的傳播,但已經對其進行了修改,因此不會觸發防病毒軟體的安全警報。此次活動所傳播的計算機病毒被證實是Agent Tesla木馬以及其他惡意軟體家族,包括Loki資訊竊取木馬。
在此次活動中,攻擊者使用的惡意文件濫用了早在一年前就已經被微軟修復的CVE-2017-11882(一個Office遠端程式碼執行漏洞)。除了Agent Tesla和Loki之外,攻擊者還傳播了一些年代久遠的計算機病毒,如Gamarue。
根據Talos團隊的說法,在他們對惡意RTF文件進行分析時,VirusTotal(一個免費提供可疑檔案分析服務的網站,能夠通過各種知名的反病毒引擎對使用者所上傳的檔案進行檢測,以判斷檔案是否被病毒、蠕蟲、木馬,以及各類惡意軟體感染)幾乎沒有能夠將它檢測出來——在58款反病毒引擎中,僅有兩款將其判定為可疑檔案。
病毒感染鏈濫用了易受攻擊的Microsoft Office公式編輯器(EQNEDT32.exe)來下載一個名為“xyz.123”的檔案(最終的有效載荷檔案)並建立一個名為“scvhost.exe”程序,而該程序稍後會另一個同名的程序。
Talos團隊表示,雖然RTF文件不支援巨集語言,但Microsoft物件連結和嵌入(OLE)物件以及Macintosh Edition Manager subscriber物件是支援的。因此,攻擊者可以將物件嵌入到RTF中以通過OLE函式利用公式編輯器,並且還可以對文件本身進行高度混淆處理以避免檢測。
作為被傳播病毒之一的Agent Tesla木馬不僅具備資訊竊取功能,而且還具備下載其它惡意程式到受感染主機的能力。它是由一家提供灰色軟體產品的公司出售的,該公司聲稱該程式是為密碼恢復和兒童監控而設計的。
然而,該木馬不僅可以竊取超過25種常見應用程式的密碼,還包括一系列rootkit功能,如鍵盤記錄、剪貼簿竊取、抓取螢幕截圖和網路攝像頭訪問。
就密碼竊取功能而言,Agent Tesla的目標應用程式包括Chrome、Firefox、Internet Explorer、Yandex、Opera、Outlook、Thunderbird、IncrediMail、Eudora、FileZilla、WinSCP、FTP Navigator、Paltalk、Internet Download Manager、JDownloader、Apple keychain、SeaMonkey、Comodo Dragon、Flock和DynDNS等。
此外,在此次活動中傳播Agent Tesla樣本還包括對SMTP、FTP和HTTP滲透的支援,但僅使用HTTP POST方法。資料以加密方式傳送到C&C,採用了3DES加密演算法。
Talos團隊在其博文的結尾總結說:“這是一場高效的計算機病毒感染活動,能夠規避大多數反病毒軟體的檢測。攻擊者使用了一個經修改的漏洞利用指令碼來下載Agent Tesla和其他惡意軟體。”
“目前尚不清楚攻擊者是通過手動修改指令碼,還是使用了某種工具來生成shellcode。但無論如何,這都表明攻擊者或他們所使用的工具具備修改彙編程式碼的能力,使生成的操作碼位元組看起來完全不同,但仍然能夠利用相同的漏洞。這種技術很可能在今後被用來以一種隱蔽的方式部署其他惡意軟體。”
宣告:本文來自黑客視界,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。