Descripcion一般
关于财务服务的重要性的调查pequeña campaña在科列奥中心electrónico。阿塔克岛destacó市:
- El AtaqueTenía联合国Alcance Bastante Estrecho,Con UnaPequeñaCanidaddemensajesMalintencionados Que Aparentemente Se Enviaban A Usuarios de Una SolaUnditeCión
- Los MensajesCantuían联合国Archivo De Microsoft Word Addulto Que Empleaba Unbojeto Charustado en Lugar de Macros Con El Fin de Evitar LaDetección;Además,Dicho ObjetoTenía联合国Alto Niveldeuscación
- 在dañina consistía的一个登记机构的pulsaciones的teclas包括在código fuente,该登记机构的计算机感染和Gmail的指令。
这是一幅油画没有es新, las macros malévolas continúan siendo el vector de elección de la mayoría de los actors de amenazas en este momento。没有obstante,Pensamos que esa técnica se volverá popular en 2017。
análisis.
Los Mensajes Enviados en Este Ataque Cantuyen Un Archivo de Microsoft Word Adverto de Nombre“info.doc”。El Documoo ContieNe Una Imagen Que Pide Al Usuario Que Haga Clic Para Instalar Microsoft Silverlight A Fin de Ver El Contenido(Figura 1)。
图1:文档señuelo
一个análisis más detenido revela没有任何宏在文件中,中国más好,一个“objeto shell de empaquetador”(图2)。
Figura 2:Al Hacer Clic Con ElBotónSecundarioen La Imagen Se Revela Que Se Trata de Unbeeto incustado en Lugar de Una Imagen Que SolamenteEstávinculada
在Visual Basic脚本的档案中,我们可以看到“Propiedades”(图3)。
Figura 3:提议del objeto incustado
Una Vez Que See El Archivo de Visual Basic Script,SEEncontró联合国Archivo ofuscado en En El que seañadeel texto“我们是安全的”Descuésdadadacarácteren las cadenas(Figura 4)。
Figura 4:Fragmento decódigodel Archivo de Visual Basic Script Con LaFunciónQue Anula LaOfuscacióndelCódigo
Las Primeras Tres LasNeasdelCódigoLasuyenlafióndeyuscaciónQue eEtgreaza Las Cadenas“我们是安全的”的ConCadenasvivías。ElcódigodeAnulacióndeauuscaciónsehemuestra en la Figura 5。
图5:Código tras anular la ofuscación
可以看到código envía una solicitud HTTP GET a https://a[.]pomf[.]cat/sfkpiff.exe en la línea 6, tras lo cual se encuentra una cadena con signos de interrogación。克里莫人是descartará他的朋友。纪念análisis, el archivo ya se había eliminado de pomf[。[英语背诵材料(三)1 . cat, the cual the UN sitio of hospedaje de archimite carmite cares anónimas为hospedarchables nefastos的喷射器提供一个菜单。
毫无疑问,我们会在恶意软件的仓库里找到它público在恶意软件的分析中找到它más a fondo。一个恶意软件程序的记忆火山揭示了interés siguientes的aspectos (los cuales también se meestran在图6中):
- Una ociticud de红色enviada a http [:] // iCanhazip [。] Com,La Com,La Com,La Compuit Que El Malware Identifique LaDirecciónIPPúblicadeLaMáquáquáqujáqujáquáquáquenca。
- “GetAsyncKeyState”API的存在。Windows的API使用的是一个为在teclado中通常使用的teclado的脉搏登记的menuudo。Al llamar GetAsyncKeyState 10 vecs segundo se crea un registrador de pulsaciones de teclas básico。
Figura 6:Volcado de la Memoria del Malware没有IdendificAdo
UNANÁLISISMÁSTeativodel Volcado de la Memoria Conffica Que Se Trata de Un Registrador de Pulsaciones de Teclas(Figura 7)。
Figura 7:El Volcado de La Memoria Conforma LaFuncióndelRegistradorde Pulsaciones de Teclas
AUNQUE NO SE MUESTRA AQULE,EL MALWARETAMBIÉNHACE USO DEL SEMIDOR SMTP DE Gmail Para viar洛杉矶A个DOS Direcciones de Gmail控股en En ElCódigoFente。
Hasta ElDíaDehoy,没有Hemos Logrado Identivear Este Registrador de Pulsaciones de Teclas。Se Ha Escrito Con Autoit Y Epprea Otras Herramientas,Tales Como La Herramienta Lazagne Que RecuperaCorraseñasy que se descarga a partir de hxxp:// 0v3rfl0w [。] com。Los Vectores deInfecciónson de muchoInterésen Este Punto Y Las Funciones De Malmare Mismas Son Bastante Directas。
结论
麦迪达阙洛斯·艾尔斯·塞勒·德尔·德尔USO de宏eCrosMalintencionadas,LAS组织中Necesitan Reconsiderar La Forma en QueEvitaránQue El ContenidoMalévoloLlegueHastaLOSUSUIOSFinales。AUNQUE MINGAS EMPRESAS BLOQUEAN LAS MACROS DE Microsoft Office A Nivel DePolíticaso警报A LOS USUIOS EN CUANTO A LOS PELIGROS DE HABILITAR EL CONTANIDO DE LAS MACROS,LOS ATACANTES ENCUENTRAN OTROS METIOS PARA CREAR DOCONEDOS ENVENENADOS Que Distractuan EL MANE。en Este Caso,SE Trata de Un Archivo de Visual Basic Script Que Se Encuentra en Un Documento De Microsoft Word Con UNA CargaDañinaQue包含EN UN Registrador De Pulsaciones de Teclas。
Tradeadores de Consomiso(IOC)
IOC |
蒂波德国际奥委会 |
Descripción. |
8B7845F5487847085753F940DBBD65C7E75E6BE48918FCF9F0D98DF169607003 |
SHA256 |
Archivo Adjulto. |
https:// a [。] pomf [。] cat / sfkpiff.exe |
URL. |
pulsaciones de teclas hospedado登记官(eliminado después) |
9A0B0832AC47B48475901269A0EB67F6287A2DA64EC9A5CC8FAF351ECD91D0E3 |
SHA256 |
登记官 |
Cobertura de suricata y snort de et et etpro
2819671 ||etpro木马自动descarga la Herramienta Lazagne que RecuperaCorraseñas
2019935 || ET TROJAN AutoIt descarga un archiivo ejectiable, posiblemente malévolo
2807400 ||etpro malware autoit descarga联合国Archivo exe o dll para windows
2008350 ||ET Policy Agente de Usuario de la Herramienta deAutomatizaciónAutomitPara Windows en La Solicalud HTTP,Posiblemente Hostil
订阅校正博客