【安全资讯】Warzone RAT：利用公式编辑器进行投放的窃密木马

引言

简况

Warzone RAT 的功能如下：

• · 远程桌面和网络摄像头
• · 权限升级 – UAC绕过
• · 找回密码
• · 下载和执行
• · 实时键盘记录器
• · 远程Shell
• · 持久性
• · Windows Defender 绕过

Warzone RAT的感染链如下：

感染链以“.docx”文件开始，在执行时，它使用模板注入技术下载下一阶段的 RTF 漏洞利用。此漏洞利用提供了一个 dll 嵌入的最终有效载荷，该有效载荷连接到域以连接到 CNC 下载有效载荷 Warzone Rat。然后，文档进一步下载包含漏洞的RTF 文件。muka.dll 嵌入在一个 OLE 对象中，嵌入的 muka.dll 文件包含导出函数 zenu，该 dll 用于向其他程序提供功能。 最后，muka.dll连接到一个恶意域（wordupdate.com），并下载最终的有效载荷Warzone RAT。

建议
攻击者通常通过电子邮件附件等文档文件传播此类恶意软件，因此研究人员建议用户不要访问可疑的电子邮件/附件，并及时更新反病毒软件，以保护系统免受这种复杂的恶意软件的侵害。