資安業者eSentire針對竊資軟體Lumma Stealer、BitRAT的攻擊行動提出警告,對方在今年5月,透過冒牌Chrome更新網站散布上述惡意程式,該網站被注入了惡意JavaScript程式碼。
一旦電腦載入上述網頁,就會觸發JavaScript指令碼,將使用者重新導向到另一個網頁。研究人員分析程式碼發現,只有來自前述的冒牌更新網站的使用者,才會被引導至第2個網頁。
接著,駭客藉由chatgpt-app[.]cloud網站,在受害電腦自動下載名為Update.zip的壓縮檔,而該檔案來自Discord的CDN網路。
上述壓縮檔案內包含的指令碼Update.js,攻擊者將其當作惡意程式下載工具,內有多個PowerShell指令碼,用來下載竊資軟體Lumma Stealer、BitRAT,並讓攻擊者能持續在受害電腦活動。
而這些PowerShell指令碼皆偽裝成PNG圖檔,並能繞過反惡意程式碼掃描介面(AMSI),然後利用.NET的反射功能,藉由RegSvcs.exe處理程序動態載入、執行惡意酬載。
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-24
2024-11-25
2024-11-22
2024-11-24
Advertisement