FlashPoint研究人员警告新的VBS装载机

虽然恶意vbscript长期以来一直是垃圾邮件和网络钓鱼活动的夹具，但其功能仅限于从攻击者控制的服务器下载恶意软件并根据安全研究人员在受妥协的计算机上执行它。

闪点的研究人员已经看到并分析了在下载的“ARS VBS Loader”中的这种规范中的独特偏离，它们描述为叫做Safeloader VBS的流行下载者的旋转，2015年在俄罗斯克里曼论坛上销售并最终泄露。

ARS VBS加载器不仅下载并执行恶意代码，还包括在PHP中编写的命令和控制应用程序，允许Botmaster向受害者的计算机发出命令。

“这项行为将ARS VBS加载到远程访问Trojan（RAT）中，使IT行为和能力很少见于恶意的”装载机“，例如用于安装后续有效载荷的初始感染矢量恶意软件系列，”安全保罗公司闪点。

据击折时，新装载机已在诱导受害者的电子邮件附件中垃圾邮件，以涉及个人银行，包裹出货量和收费公路通知的主题行中。

“受害者是否应该与附件互动并启动它，分析师表示，可以安装众多类型的商品恶意软件，包括禁止的禁止信息窃取恶意软件，这些恶意软件也用于针对1,000多个Magento管理小组的活动，”他说。

在这些攻击中，恶意软件用于从运行流行的自由和开源电子商务平台的网站刮除付款卡信息。

“ARS VBS加载器只针对运行Microsoft Windows操作系统的计算机并支持Windows 10，根据帖子到12月的俄语论坛，”伯班说。“以前，另一个称为FUD ASPC Loader的装载机，首先在2017年5月发布，包含类似的功能，但不是Windows 10支持。”

根据闪光点分析师，由于攻击者可以混淆VBScript的相对容易，加载器也可能通过基于签名的防病毒和入侵检测系统（IDS）来侧面检测。

通过各种手段，模糊地允许攻击者隐藏恶意软件，如果恶意软件被加密或包装困扰，则防病毒软件更难检测恶意代码。

研究人员发现，一旦ARS VBS加载器在受害者的计算机上执行，它就立即在几个自动运行位置创建了许多条目，包括注册表，计划任务和启动文件夹，确保通过重启持久性。

ARS VBS Loader将连接到攻击者的服务器，发送IT系统信息，如操作系统版本名称，计算机用户名，内存，处理器和图形卡信息，是用于感染跟踪的随机生成的ID，以及机器架构信息。

同时，Botmaster可以通过PHP命令和控制应用程序远程管理BOTS的命令。但是，与命令和控制服务器的通信在PlainText上以HTTP执行，使得闪光点分析师表示易于发现。

受害者机器上运行的恶意代码完全在VBScript中写入，并包含更新和删除自身的功能，以及部署凭据窃取器等插件，或者启动针对网站的应用程序层拒绝服务（DOS）攻击，并加载额外的攻击来自外部网站的恶意软件。

分析师发现的最常用命令是下载的，指示机器人从提供的链接下载和执行恶意软件。还有Plugin命令，其中窃取密码或捕获桌面屏幕截图的插件可以被推送到受损计算机。

“DDOS命令也值得注意，因为它是一种独特的能力，但分析师表示他们没有看到这种命令在野外使用，”伯班说。

该命令告诉机器人将指定数量的HTTP POST请求发送到特定的Web服务器。但由于这是一个简单的应用层洪水攻击，分析师表示目前未知它是如何成功的，这将在野外反对目标是多么成功，指出它将容易发现这种流量，因为在HTTP中发送了相同的硬件帖子值洪水。

分析师警告说，用户应该保持警惕，没有打开未知来源的电子邮件附件，并补充说它可能是VBS装载机将继续成为垃圾邮件活动的有效初始感染矢量。