一
概述
近期,绿盟科技伏影实验室发现一起利用聊天工具传播恶意软件的攻击事件。在该次攻击事件中,攻击者利用Skype聊天工具进行恶意代码投递。
事件调查显示,攻击者伪装昵称为财务主管,通过即时聊天工具Skype,向目标投递了名称为“七月份公司重要通知.xlxs.exe”的文件。在聊天界面中,完整的后缀并没有显示,同时如果本地开启已知文件后缀隐藏的设置,在本地浏览文件过程中也可能会错误地认为该文件是一个通知文档。
Skype聊天工具在Win10上默认自启动,可以与目标用户聊天和发送文件。通过分析了解到,攻击者也有可能会利用QQ、Wechat、telegram进行恶意代码投递。
一旦受害者运行该文件,恶意代码便进入到了一段比较复杂的攻击流程,并最终加载执行远控木马程序,实现对受害者计算机的完整控制。
攻击流程
二
技术分析
第一阶段
攻击者通过聊天工具将第一阶段攻击载荷以文件形式发送给目标,并赋之以诱惑性的文件名称,吸引用户去打开文件。
第一阶段攻击载荷是一个名称伪装成Excel文档的exe文件。在聊天界面下,没有显示完整的文件名称,目标用户为了查看文件内容,可能会直接下载并双击运行恶意代码。
第一阶段恶意程序运行之后,首先会检查当前进程文件名称是否包含geek.jpg,根据判断结果分别执行两种操作。
1.如果没有包含,恶意程序会自拷贝到C:\Windows\Temp\geek.jpg,并使用cmd.exe启动geek.jpg,然后退出自身进程。
2.如果包含geek.jpg,恶意程序会解密出一个url
转载请注明:http://www.0431gb208.com/sjszlff/761.html