疑似由惡意程式IcedID開發的另一款惡意軟體Latrodectus,日前有多組研究人員發現相關攻擊行動,對方將其當作後門運用,並於受害電腦側載EXE或DLL有效酬載,或是下達命令,最近又有新一波攻擊出現。
研究人員ProxyLife與Cryptolaemus指出,攻擊者藉由回信互動型的網釣郵件(reply-chain phishing emails)來發動攻擊,當中通常會含有PDF附件或是URL,一旦收信人依照指示開啟附件,或是點選URL,就有可能看到檔案存放於微軟Azure雲端空間的訊息。
若是點選下載文件檔案的按鈕,收信人就會被導向偽造的Cloudflare圖靈驗證流程,要求解開簡單的數學問題。研究人員指出,駭客這麼做的目的,就是為了迴避資安系統的偵測。
值得留意的是,一旦收信人輸入正確答案,電腦就會自動下載經重度混淆處理的JavaScript指令碼,執行後將從特定URL下載MSI安裝檔,於受害電腦植入DLL程式庫Latrodectus,並透過rundll32.exe載入,在後臺運作,等待接收惡意酬載或是攻擊者的命令。
熱門新聞
2024-05-16
2024-05-14
2024-05-14
2024-05-15
2024-05-12
2024-05-13
Advertisement