BazarBackdoor恶意软件再次感染设备。这一次,网络安全研究人员发现,这种新的网络钓鱼策略依赖于CSV文本文件,而CSV文本文件正是用于安装该木马的工具。
什么是CSV文件?
CSV或逗号分隔值文件是由以逗号分隔的数据组成的特殊文件。通常,在文本的第一行会有一个描述或标题。
作为参考,电脑发出哔哔声他写道,美国各州的首府可以写入一个简单的CSV文件中。逗号作为包含数据的列的分隔工具。
当您通过Microsoft Excel打开此文件时,只能看到每行中的文本。有些人使用CSV将数据传输到另一个应用程序,如密码管理器或数据库。
然而,Excel应用程序在可执行命令方面有一个明显的缺点。输出可以通过动态数据交换(Dynamic Data Exchange, DDE)特性进行操作。
因此,黑客可以利用这一点来安装恶意软件,并通过执行不同的命令来感染用户的设备。
相关文章:TrickBot恶意软件现在带有额外的保护,现在可以绕过实时网络注入
网络钓鱼活动促进市场后门
克里斯·坎贝尔是推特上的一名恶意软件监测员,他最近发布消息称,这个臭名昭著的木马正在利用CSV文件传播感染。有了这些,威胁行为者现在可以访问系统BazarBackdoor恶意软件是安装。
集市。CSV URL: hXXps://leosoko[.]com/components/com_kunena/views/home/tmpl/appeal.php脚本域:ouchimin[.][.]com C2: 104.168.48[.]] 120:443 185.99.132(。]67:443执行:Excel > powershell > powershell > rundll32 CSV:https://t.co/BR4wzKLHNy有效载荷:https://t.co/3CJFe4RUbnpic.twitter.com/HdaDwj5aa4
-克里斯(@phage_nz)2022年2月1日
更重要的是,用户应该注意那些将他们引向未知CSV目的地的可疑链接。为了进行网络钓鱼攻击,黑客使用伪装成“付款汇款通知”的电子邮件。
仔细观察文件中的数据,一列有一个可疑的“WMIC”调用,可能会提示来自PowerShell的命令。
如果威胁行为者绕过了WMIC.exe的权限,他们现在可以通过立即执行PowerShell命令来输入信息。
据报道,在这次事件中,网络犯罪分子使用这个可执行命令打开了一个Powershell进程。这稍后会将用户引导到一个“远程URL”。
更明确地说,允许这两个提示符操作将导致通过Excel启动PowerShell脚本。当这种情况发生时,黑客现在可以下载DLL。从那里,他们现在可以启动一个进程,在系统或设备中安装BazarBackdoor。
网络钓鱼陷阱使更多人受害
该案件引起了AdvIntel公司首席执行官维塔利·克雷默斯的注意,他说越来越多的人陷入了这种骗局。
“根据我们对BazarBackdoor遥测的可见性,在过去两天里,我们观察到了102个非沙盒企业和政府受害者,”克雷梅兹说。
该恶意软件还涉及2021年11月发生的一起事件。ZDNet报道称BazarBackdoor利用了Windows 10的一个特殊应用功能。
浏览更多关于网络安全的文章,请查看科技时报关于万博体育登录首页联邦调查局的警告献给北京冬奥会运动员和观众。你也可以阅读我们写的关于MoonBounce恶意软件被卡巴斯基发现。
本文归科技时报所有万博体育登录首页
作者:约瑟夫·亨利