【安全资讯】利用COVID-19主题的网络钓鱼

猎影实验室 2021-12-27 09:13:08 378人浏览

引言

研究人员近日发现利用当前COVID-19情况为主题的钓鱼活动,这些恶意电子邮件是使用邮件程序脚本从受感染的邮箱发送的。邮件中包含一个指向 Word 文档的链接,引诱毫无戒心的用户单击链接并下载文档,通过一系列的调用,最终目的是通过剪切板替换窃取用户加密货币,以及部署挖矿程序。

 

简况

攻击者使用的COVID-19主题的垃圾邮件如下:

 

最初下载的 Word 文档没有恶意代码。但是一旦受害者打开 Word 文档,它就会尝试从远程服务器检索并启用宏的恶意模板。该技术被称为远程模板注入,通常用于逃避静态检测。加载远程模板后,它将提示用户启用宏内容。文件感染链如下:

 

释放的第一个二进制文件是被称为 ClipBanker 的信息窃取程序。 ClipBanker 主要功能是监视剪贴板并用攻击者自己的钱包地址替换受感染系统中的加密货币钱包地址。并通过宏脚本创建的注册表启动键作为持久化。

 

另外,恶意代码还包含挖矿操作,为了开始挖掘,加载器将启动下载器,然后它会尝试提升用户权限。然后下载器从远程服务器、加密货币挖矿程序及其配置文件中获取主要负载。然后挖矿程序被保存为“chrome.exe”,以伪装成一个网络浏览器。

 

然后,宏代码将向每个受害者的联系人发送一封电子邮件,其中包含 COVID-19 主题文档的副本作为附件。使用这种方法,发送的电子邮件很可能会被打开,并且收件人下载和执行的文档来自受信任的发件人。最后,宏脚本将删除发送的电子邮件,以试图掩盖其踪迹并删除证据。

将恶意文档发送到已收割的contacts.ure7列表

 

总结

攻击者正在利用COVID-19主题来引起健康恐慌,并传播恶意软件,以获得经济利益。

失陷指标(IOC)6
钓鱼攻击
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。