时间:2018-01-22 来源:互联网 浏览量:
这款恶意软件的售价只有75美元,而且它的作者还定期更新它的附加功能。图片:iStock
黑客利用微软办公软件的漏洞来传播一种复杂的恶意软件,这种恶意软件可以窃取凭证、删除额外的恶意软件、加密货币的挖掘和进行分布式拒绝服务(DDoS)攻击。
该恶意软件自2016年以来一直活跃,尽管其功能强大,可在地下论坛上购买,只要75美元。
FireEye的研究人员观察到一项新的活动,试图通过垃圾邮件将恶意软件发送到电信、保险和金融行业的目标,这些攻击都试图利用微软Office软件中暴露的漏洞。
钓鱼邮件的设计目的是与选定的目标相关,并包含一个包含恶意诱饵文档的ZIP文件,该文件鼓励用户运行。一旦运行了这个Microsoft Office文档文件,就会利用Microsoft Office漏洞,并运行基于PowerShell的有效负载,从而感染受害者。
攻击者利用的漏洞之一是CVE-2017-11882。在去年12月公开的时候,它是Microsoft Office中的一个安全漏洞,它允许在打开恶意修改的文件时运行任意代码。在此活动的情况下,漏洞允许通过恶意附件中的存储URL来触发额外的下载。下载文件中包含了可以删除恶意软件的PowerShell脚本。
恶意软件运动还试图利用CVE-2017-8759,这是微软的一个弱点。NET框架处理不可信的输入,并允许攻击者控制受影响的系统。在这个实例中,附加到钓鱼邮件的DOC文件包含一个嵌入的OLE对象,它会触发下载一个存储的URL来启动PowerShell进程。该漏洞在9月被披露和修补。
参见:什么是网络钓鱼?你需要知道的一切来保护你自己不被诈骗邮件和更多。
如果PowerShell脚本成功运行,它会注入代码,从恶意的命令和控制服务器下载最终的有效负载,并将恶意软件释放到目标计算机上,同时允许攻击者使用Tor隐藏他们的踪迹。该恶意软件还包含各种插件,允许攻击者秘密地访问存储在机器上的几乎所有类型的数据。
在这些恶意软件中,攻击者可以从流行的网络浏览器窃取密码,从FTP应用程序窃取密码,从电子邮件帐户窃取密码。
这个恶意软件还可以从加密货币的钱包中偷取,盗取超过200个流行软件应用程序的许可证密钥,包括Office、SQL Server、Adobe和Nero。
除了能够从受感染的用户那里窃取信息外,攻击者还可以将被感染的机器连接到一个更大的计算机网络中,以帮助进行DDoS攻击,并将这些机器作为一种用于挖掘加密货币的工具。这种恶意软件在许多流行的地下论坛上都有广告。
“威胁行为者最近发现了流行软件——微软办公室的漏洞——只会增加成功感染的可能性。”这些类型的威胁说明了为什么确保所有的软件都被完全更新是非常重要的,”FireEye研究人员Swapnil Patil和Yogesh伦敦在关于恶意软件的博客文章中说。
用户应该确保他们已经下载了所有发布的补丁,以保护CVE-2017-11882和CVE-2017-8759。
一位微软发言人告诉独家原创:“去年发布了安全更新,使用了这些更新的客户,或者有自动更新功能的用户都受到了保护。”