近日,安全人员发现大量针对财务人员的钓鱼攻击,受害者一旦“中招”将失去电脑控制权,关闭杀软,泄露储存数据,泄露浏览器历史,键盘被记录,及计算机信息。此外,攻击者还会利用远控控制计算机再次传播病毒,对用户伙伴造成连带损失。
恶意程序隐藏在电子文档中
该黑客团伙冒充高管,通过邮件或者微信群投递的诱饵文档名为《2023年10月企业税务稽查内容通知.zip(离购买许可只剩7天).zip》的电子文档。当受害者双击打开后,恶意代码开始运行。
分析如下:
该钓鱼程序样本在双击运行之后首先释放并加载dotnet模块,dotnet模块将根据系统架构的不同加载不同的shellcode,shellcode从服务器远程下载svchost.exe、libcef.dll和libcef.png等载荷,通过模拟点击断链技术执行svchost.exe加载libcef.dll中的核心恶意代码,达到入侵的目的。
安全建议: