【安全资讯】ModiLoader肆虐:波兰遭遇钓鱼攻击狂潮
概要:
5月,ESET检测到针对波兰、意大利和罗马尼亚中小企业的大规模钓鱼攻击。这些攻击导致受害者设备上安装了多种恶意程序,包括Agent Tesla、Formbook和Remcos RAT。攻击者利用已被攻陷的电子邮件账户和公司服务器传播恶意邮件并收集被盗数据。主要内容:
此次攻击活动分为九波,使用DBatLoader(ModiLoader)来传递恶意软件。初始攻击向量涉及带有RAR或ISO格式附件的钓鱼邮件,这些附件包含恶意文件。打开这些附件后,会启动一个多阶段过程以下载并激活木马程序。在包含ISO文件附件的情况下,内容包括一个可执行的ModiLoader文件(名称与ISO文件相同或相似),打开后即执行。在包含RAR文件附件的情况下,压缩包内含有一个高度混淆的批处理脚本(与压缩包同名,扩展名为.cmd),以及一个伪装成PEM证书吊销列表的Base64编码的ModiLoader可执行文件。批处理脚本负责解码并启动嵌入的ModiLoader。
DBatLoader使用Delphi开发,旨在从Microsoft OneDrive或被攻陷的公司服务器下载并执行下一阶段的恶意软件。无论安装何种恶意软件,Agent Tesla、Formbook和Remcos RAT都能够窃取敏感信息,包括浏览器和电子邮件客户端中的数据,从而为后续攻击奠定基础。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享