网络安全研究人员已经披露了网络钓鱼活动的详细信息,该活动提供了一个隐秘的银行业变形式销售访问trojan的详细信息莫斯特拉特。
Fortinet Fortiguard Labs说,网络钓鱼攻击结合了许多先进的逃避技术,以完全控制受损害的系统,虹吸敏感数据,并通过提供辅助插件来扩展其功能。
“这些包括使用简单的编程语言(EPL)开发分阶段有效载荷,隐藏恶意操作和禁用安全工具,以防止警报触发器,使用相互TLS(MTL)(MTL)(MTL)确保命令和控制(C2)通信,支持部署其他有效负载的各种方法说。
EPL是一种晦涩的视觉编程语言,支持传统的中文,简化的中文,英语和日本变体。它主要是针对可能不精通英语的用户。
这些电子邮件主要旨在针对日本用户,它利用与业务查询相关的诱饵来欺骗收件人单击恶意链接,这些链接将其带到受感染的网站下载被散布的文档 - 一个嵌入ZIP档案的Microsoft Word文件。
ZIP文件中的存在是可执行的,反过来触发了Mostererat的执行,然后使用EPL编写的模块来删除几种工具,例如Anydesk,Tigervnc和tigrvnc。恶意软件的一个值得注意的方面是它可以禁用Windows安全机制并阻止与安全程序的硬编码列表关联的网络流量,从而允许其避免检测。
“这种交通障碍技术类似于已知的红色团队工具的技术'Edrsilencer,“使用Windows过滤平台(WFP)过滤器在网络通信堆栈的多个阶段使用过滤器,有效地阻止了它连接到其服务器,并传输检测数据,警报,事件日志或其他遥测。”
另一个是它可以作为TrustedInstaller运行的能力,TrustedInstaller是一个内置的Windows系统帐户,具有升高权限,使其能够干扰关键的Windows进程,修改Windows注册表条目并删除系统文件。
此外,Mostererat部署的一个模块之一可以监视与Qianniu相关的前景窗口活动-Alibaba的卖方工具,日志击键,将心跳信号发送到外部服务器以及服务器发出的过程命令。
这些命令允许其收集受害者主机详细信息,运行DLL,EPK或EXE文件,加载ShellCode,读取/写入/删除文件,下载并将EXE注入svchost.exe。使用早鸟注入,枚举用户,捕获屏幕截图,促进RDP登录,甚至在管理员组中添加并添加一个隐藏的用户。
Fortinet说:“这些策略大大增加了检测,预防和分析的困难。”“除了保持解决方案的更新外,对用户进行社会工程危险的教育仍然至关重要。”
ClickFix获得了另一个小说
这些发现与另一项竞选活动的出现相吻合。点击fix - 将商品信息窃取器分发称为Metastealer的用户将搜索Anydesk等工具的用户分发。
攻击链涉及在下载假定的Anydesk安装程序之前提供假云旋转门页面,并提示他们单击复选框以完成验证步骤。但是,此操作触发了一条弹出消息,要求他们打开Windows File Explorer。
打开Windows File Explorer后,将隐藏在旋转门验证页面中的PHP代码配置为采用”搜索MS:“ URI协议处理程序显示Windows快捷方式(LNK)文件,该文件伪装成托管在攻击者网站上的PDF。
就其部分而言,LNK文件激活了一系列的步骤来收集主机名并运行最终负责丢弃MetasteAler的MSI软件包。
“这些类型的攻击需要受害者从受害者那里进行某种水平的手动互动,因为他们努力'修复'所谓的破碎过程本身,部分原因是他们可以规避安全解决方案,“猎人”说。“威胁行为者正在继续将针头移动到感染链中,将扳手带入侦查和预防。”
该披露还出现在Cloudsek详细介绍了ClickFix社会工程策略的新颖适应性,该策略使用基于CSS的混淆方法来利用隐形提示来武器化AI系统,并产生包括攻击者控制的ClickFix指令的摘要。
概念验证(POC)攻击是通过使用称为提示过量的策略来实现的,其中有效负载已广泛地嵌入HTML内容中,以使其主导大型语言模型的上下文窗口以引导其输出。
“这种方法针对嵌入在电子邮件客户端,浏览器扩展和生产力平台等应用程序中的摘要”。说。“通过利用信托用户将AI生成的摘要放置,该方法秘密地提供了恶意的逐步指令,可以促进勒索软件部署。”
“提示过量是一种操纵技术,它淹没了AI模型的上下文窗口,具有高密度,重复的内容以控制其输出。通过用攻击者选择的文本将输入饱和,将合法的上下文抛在一边,该模型的注意力始终引起注入的有效负载。”