技術支援
文件
登錄
聯繫我們
新的網路釣魚活動使用螢幕截圖來傳遞惡意軟體
奧班拉·奧佩耶米
實施期間: 2023年2月21 日 - TuxCare專家團隊
Proofpoint Threat Research研究人員發現了一種新的網路釣魚活動,該活動使用螢幕截圖將惡意軟體有效載荷傳遞給毫無戒心的受害者。
攻擊者發送一封附有螢幕截圖的電子郵件,打開後會啟動下載並執行惡意軟體的宏。由於這些電子郵件偽裝成來自公司IT部門的合法內部電子郵件,因此攻擊者似乎針對的是高級管理人員。
根據Proofpoint的說法,要成功妥協,用戶必須單擊惡意連結,如果成功過濾,則與JavaScript檔交互以下載和運行其他有效負載。“組織應該教育最終使用者瞭解這種技術,並鼓勵用戶報告可疑的電子郵件和其他活動,”研究人員說。
網路釣魚電子郵件本質上是緊急的,要求收件者查看附加的文檔或報告。該電子郵件指示收件者通過按下按鈕或連結來訪問文件,然後將惡意軟體下載到收件者的設備上。
此活動的惡意軟體是遠端訪問木馬 (RAT),它允許攻擊者訪問和控制受害者的設備。可以捕獲擊鍵,截取螢幕截圖,並竊取密碼,電子郵件和財務資訊等敏感數據。
螢幕截圖器是一個簡單的實用程式,它獲取使用者桌面的 JPG 螢幕截圖,並通過 POST 將其發送到硬編碼的 IP 位址的遠端 C2。這有助於威脅參與者在偵察和受害者分析階段。Proofpoint發現了幾個Screenshotter變體,包括基於Python,基於AutoIT和基於JavaScript / IrfanView的變體。它們都執行相同的功能,並且網路協定相同。
在此活動中使用螢幕截圖是一種新穎的策略,它使傳統的電子郵件安全解決方案難以檢測和阻止網路釣魚電子郵件。攻擊者可以使用目標公司的合法螢幕截圖輕鬆避免檢測,從而使消息對收件者來說更加可信。
屏幕截圖器代碼包含在 MSI 包 (SHA256: 02049ab62c530a25f145c0a5c48e3932fa7412a037036a96d7198cc57cef1f40) 中。該套件包括lumina.exe,IrfanView版本4.62的未修改副本,以及MSI軟體包的第一個檔app.js。它執行lumina.exe,它捕獲桌面的螢幕截圖並將其保存為JPG,以及索引.js,MSI包執行的第二個檔。
這篇文章的來源包括 SCMedia上的一篇文章。
在我們的YouTube頻道上有什麼新聞:https://www.youtube.com/watch?v=gRtQZ3ljvrE
