恶意软件EvilExtractor的传播
网络安全公司Fortinet FortiGuard Labs的研究员Cara Lin表示,一种名为EvilExtractor的新型“全能”窃取恶意软件正在市场上出售。该软件被用作从Windows系统中窃取数据和文件。它包含几个模块,所有模块均通过FTP服务工作。该恶意软件还包含环境检查和反虚拟机功能。其主要目的似乎是从受损的端点窃取浏览器数据和信息,然后将其上传到攻击者的FTP服务器。Fortinet FortiGuard Labs称,自2022年10月22日以来,在破解等网络犯罪论坛上由名为Kodex的行为者出售,它不断地更新并打包了多个模块,以从各种Web浏览器中获取系统元数据、密码和Cookie,并记录按键,甚至可以充当勒索软件,加密目标系统上的文件。
EvilExtractor的多种用途
据Lin所说,该恶意软件还被用作2023年3月30日公司检测到的网络钓鱼邮件活动的一部分。这些电子邮件诱骗收件人启动一个被伪装成PDF文档的可执行文件,以确认其“帐户详细信息”。除了收集文件外,该恶意软件还可以激活网络摄像头并捕获屏幕截图。EvilExtractor被用作综合信息窃取工具,具有多个恶意功能,包括勒索软件。它的PowerShell脚本可以在.NET加载器或PyArmor中避免被检测到。在很短的时间内,其开发人员更新了几个功能并提高了其稳定性。
Bumblebee恶意软件加载器
Secureworks Counter Threat Unit(CTU)详细描述了一个恶意广告和SEO投毒活动,通过合法软件的木马安装程序传递Bumblebee恶意软件加载器而引起关注。这是首次由Google的威胁分析组和Proofpoint记录的Bumbleebee模块化加载器,主要通过网络钓鱼技术传播。据称它是与Conti勒索软件操作有关的行为者开发的BazarLoader替代品。
使用SEO投毒和恶意广告的现象
使用SEO投毒和恶意广告将搜索ChatGPT、Cisco AnyConnect、Citrix Workspace和Zoom等热门工具的用户重定向到托管污染安装程序的恶意网站的情况近年来有所增加。在Microsoft开始默认阻止从互联网下载的Office文件中的宏之后,这一现象急剧上升。在一个由该公司描述的事件中,威胁行为者使用Bumblebee恶意软件获取入口并在三个小时后横向移动,然后部署Cobalt Strike和合法的远程访问软件,如AnyDesk和Dameware。在最终的勒索软件阶段之前,该攻击被最终打断。
建议组织应该采取的措施
Secureworks建议缓解此类威胁的方法是确保仅从已知和受信任的网站下载软件安装程序和更新。用户不应该拥有安装软件和运行脚本的权限。
