FlashPoint研究人员警告新的VBS装载机
微软最新的Windows 10专注于它的管理员
英特尔回忆起拙劣的幽灵修复
7 2017年招聘趋势
2017年在线零售增长不到预期
Godaddy为主欧洲提供1.8亿美元
优步为城市官员提供“匿名的”数据
政府必须投资于高效,以支持Brexit的食物贸易,例如,MPS
如何确保您正在运行稳定的Windows 10版本
政府支持国家网络政策和战略竞争
阿里巴巴云用AI解决马来西亚的交通困境
2016年将是1秒的时间:谷歌可以帮助您应对
戴尔保护Alienware,将低端游戏推入Inspiron 7000
Natwest打开四个英国Fintech Hubs
英特尔,微软在Windows 10个人电脑上与Cortana长途跋涉
IT服务管理有效性受到指标缺乏的阻碍
芬兰政府在奥卢的技术城市发展
Windows 10增长EBBS作为2016年结束
想象力GPU Tech明年可以发电Apple iPhone 8图形
LG推出智能家居机器人,Wi-Fi电器和超薄电视
DDos-for-for-hire服务尽管封闭主要市场
俄罗斯声称它从外国间谍服务中挫败了一个网络攻击
没有更多的批量通信数据保留,顶部欧盟法院告诉U.K.
英国财务监管机构与美国对手在金融气上合作
研究警告在线恐怖内容的人权风险警告
Google开放源测试套件用于DEVS查找加密错误
数据违规行为会影响未来的销售
Astazeneca墨水在AI推动中涉及阿里巴巴和腾讯
执行面试:穆纳西克总统Sudheesh Nair
年度赎金书成为企业的最大威胁之一
政府旨在通过2018年底完成基因组测序项目
英特尔购买自动车辆映射公司
新奥迪斯现在可以与红绿灯交谈
弹弓路由器恶意软件:为企业警告
微软仍然需要Windows手机中的音频插孔端口
工业网络安全改善,但需要工作
特洛伊狩猎说,创造安全文化以提高网络防御
Synaptics有一个新的指纹传感器,意味着更平滑的手机屏幕
伦敦加入花旗银行IT创新网络
亚马逊旨在通过消除退房线来改变零售
AirMap,Digicert为无人机发出数字证书
为什么Marissa Mayer将从雅虎的灰烬中出现
思科与启动AI健康和安全试验合作
戴尔的纬度7285是世界上第一个2合1的无线充电
兰森沃特在2017年是最受欢迎的网络犯罪工具
开源硬件制造商开始认证产品
美国最高法院留下三星 - 苹果专利裁决的差距
Qumulo文件访问混合云QF2文件系统在欧洲推出
新年为物联网供应商的决议:开始将兰斯视为敌对
在法拉第未来的工厂的位置看不到太多
您的位置:首页 >产品 > 人工智能 >

FlashPoint研究人员警告新的VBS装载机

2021-07-31 08:44:06 [来源]:

虽然恶意vbscript长期以来一直是垃圾邮件和网络钓鱼活动的夹具,但其功能仅限于从攻击者控制的服务器下载恶意软件并根据安全研究人员在受妥协的计算机上执行它。

闪点的研究人员已经看到并分析了在下载的“ARS VBS Loader”中的这种规范中的独特偏离,它们描述为叫做Safeloader VBS的流行下载者的旋转,2015年在俄罗斯克里曼论坛上销售并最终泄露。

ARS VBS加载器不仅下载并执行恶意代码,还包括在PHP中编写的命令和控制应用程序,允许Botmaster向受害者的计算机发出命令。

“这项行为将ARS VBS加载到远程访问Trojan(RAT)中,使IT行为和能力很少见于恶意的”装载机“,例如用于安装后续有效载荷的初始感染矢量恶意软件系列,”安全保罗公司闪点。

据击折时,新装载机已在诱导受害者的电子邮件附件中垃圾邮件,以涉及个人银行,包裹出货量和收费公路通知的主题行中。

“受害者是否应该与附件互动并启动它,分析师表示,可以安装众多类型的商品恶意软件,包括禁止的禁止信息窃取恶意软件,这些恶意软件也用于针对1,000多个Magento管理小组的活动,”他说。

在这些攻击中,恶意软件用于从运行流行的自由和开源电子商务平台的网站刮除付款卡信息。

“ARS VBS加载器只针对运行Microsoft Windows操作系统的计算机并支持Windows 10,根据帖子到12月的俄语论坛,”伯班说。“以前,另一个称为FUD ASPC Loader的装载机,首先在2017年5月发布,包含类似的功能,但不是Windows 10支持。”

根据闪光点分析师,由于攻击者可以混淆VBScript的相对容易,加载器也可能通过基于签名的防病毒和入侵检测系统(IDS)来侧面检测。

通过各种手段,模糊地允许攻击者隐藏恶意软件,如果恶意软件被加密或包装困扰,则防病毒软件更难检测恶意代码。

研究人员发现,一旦ARS VBS加载器在受害者的计算机上执行,它就立即在几个自动运行位置创建了许多条目,包括注册表,计划任务和启动文件夹,确保通过重启持久性。

ARS VBS Loader将连接到攻击者的服务器,发送IT系统信息,如操作系统版本名称,计算机用户名,内存,处理器和图形卡信息,是用于感染跟踪的随机生成的ID,以及机器架构信息。

同时,Botmaster可以通过PHP命令和控制应用程序远程管理BOTS的命令。但是,与命令和控制服务器的通信在PlainText上以HTTP执行,使得闪光点分析师表示易于发现。

受害者机器上运行的恶意代码完全在VBScript中写入,并包含更新和删除自身的功能,以及部署凭据窃取器等插件,或者启动针对网站的应用程序层拒绝服务(DOS)攻击,并加载额外的攻击来自外部网站的恶意软件。

分析师发现的最常用命令是下载的,指示机器人从提供的链接下载和执行恶意软件。还有Plugin命令,其中窃取密码或捕获桌面屏幕截图的插件可以被推送到受损计算机。

“DDOS命令也值得注意,因为它是一种独特的能力,但分析师表示他们没有看到这种命令在野外使用,”伯班说。

该命令告诉机器人将指定数量的HTTP POST请求发送到特定的Web服务器。但由于这是一个简单的应用层洪水攻击,分析师表示目前未知它是如何成功的,这将在野外反对目标是多么成功,指出它将容易发现这种流量,因为在HTTP中发送了相同的硬件帖子值洪水。

分析师警告说,用户应该保持警惕,没有打开未知来源的电子邮件附件,并补充说它可能是VBS装载机将继续成为垃圾邮件活动的有效初始感染矢量。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。