具有恶意宏的文档提供无线恶意软件
垃圾邮件与恶意宏的文字文件已成为过去几个月感染电脑的流行方法。攻击者现在通过使用这样的文档来提供一步一步,以便在计算机内存中直接加载加载的Filless Malwware。
Palo Alto Networks的安全研究人员分析了最近的攻击活动,将垃圾邮件推出了与恶意文档文件从美国,加拿大和欧洲的商业电子邮件地址推动。
电子邮件包含了收件人“名称以及有关他们工作的公司的具体信息,这不是广泛垃圾邮件广告系列的典型信息。研究人员表示,这种关注垃圾邮件更加可信地对垃圾邮件的信誉,使受害者更有可能打开附加文件。
包含宏的文档,如果允许运行,则执行具有特殊命令行参数的PowerShell.exe的隐藏实例。Windows PowerShell是一个任务自动化和配置管理框架,默认情况下包含在Windows中,并带有自己的脚本语言。
在这种情况下执行的PowerShell命令旨在检查Windows操作系统是否为32位或64位版本,并下载与OS体系结构相对应的其他PowerShell脚本。
Rogue脚本对计算机执行各种检查。首先,它试图确定环境是否是恶意软件分析师使用的虚拟机或沙箱。然后它扫描了学校,医院,学院,健康和护士等字符串的网络配置。它还扫描网络的其他机器,包括老师,学生,学校板,儿科,矫形,矫形,店,商店,商店和销售。缓存的URL被扫描了许多金融网站和Citrix和XenApp等名称。
根据Palo Alto研究人员,这些检查的目标是找到用于进行金融交易的系统,避免属于安全研究人员以及医疗和教育机构的系统。
仅标记符合攻击者的系统,并将其报告回命令和控制服务器。对于这些系统,脚本下载恶意加密DLL(动态链接库)文件并将其加载到内存中。
“由于垃圾邮件电子邮件中包含的目标特定细节以及使用内存居民恶意软件,这种特殊的活动应该被视为高威胁,”Palo Alto研究人员在博客帖子中说。
上周由SANS学院的互联网风暴中心的研究人员上周观察到类似的PowerShell和Futeless Malware。
恶意软件创建一个注册表项,在每个系统启动时都会在每个系统启动时启动隐藏的PowerShell实例。powershell命令执行编码脚本,该编码脚本存储在单独的注册表项中。它的目标是将可执行文件直接解密并将可执行文件加载到内存中,而不会将其写入磁盘。
“通过使用PowerShell,攻击者已经能够将可能在硬盘驱动器上检测到Windows注册表的恶意软件,”高级Sans讲师Mark Baggett在博客文章中表示。
将恶意代码存储在系统注册表中,滥用Windows PowerShell并将恶意宏添加到文档不是新的技术。然而,它们的组合可以为非常有效和难以检测的攻击产生。