图片来源:安全客
趋势科技研究公司的一份最新报告指出,巴西出现了一种鱼叉式网络钓鱼活动,该活动结合使用了混淆 JavaScript 和 Astaroth 恶意软件,以各行各业的公司为目标。该活动背后的威胁行动者被追踪为 “Water Makara”,他们采用了复杂的技术来逃避检测,对该地区的制造企业、零售企业和政府机构构成了严重威胁。
该活动以伪装成官方税务通知或合规文件的网络钓鱼电子邮件开始,这种策略旨在引诱毫无戒心的用户。报告称,“这些电子邮件的附件通常伪装成个人所得税文件”,而这些附件中包含有害的 ZIP 文件。钓鱼邮件的主题行是 “Aviso de Irregularidade”(违规通知),诱骗收件人打开包含恶意 LNK 文件的 ZIP 文件。这些 LNK 文件被执行后,会通过 mshta.exe 工具运行嵌入的 JavaScript 命令,而 mshta.exe 工具是一个通常用于执行 HTML 应用程序的合法程序。
最终有效载荷为 Astaroth 恶意软件的鱼叉式网络钓鱼电子邮件示例 | 图片: 趋势科技研究
趋势科技研究人员解释说:“除了 LNK 文件外,ZIP 文件还包含另一个文件,其中有类似的混淆 JavaScript 命令,”这些命令在执行过程中会被解码,并连接到命令与控制(C&C)服务器以获取进一步的指令。
该活动的核心是 Astaroth,这是一种臭名昭著的银行木马,可窃取包括凭证和财务数据在内的敏感信息。一旦恶意软件站稳脚跟,它就会造成长期破坏,不仅包括数据盗窃,还包括监管罚款、业务中断和失去消费者信任。
报告说:“虽然 Astaroth 看起来像是一个古老的银行木马,但它的再次出现和持续演化使其成为一个持久的威胁。”
Water Makara 采用了先进的混淆技术,使检测变得困难。研究人员发现,编码后的 JavaScript 命令会指向恶意 URL,如 patrimoniosoberano[.]world。这些 URL 采用了域名生成算法 (DGA),这是网络犯罪分子用来创建大量域名从而逃避检测的一种策略。
巴西的制造业、零售业和政府部门是这一活动的主要目标。报告指出:“鱼叉式网络钓鱼活动主要针对巴西的公司,其中受影响最大的是制造公司、零售公司和政府机构。”
报告总结道:“Water Makara 的鱼叉式网络钓鱼活动依赖于不知情的用户点击恶意文件,这凸显了人类意识的关键作用。”
随着巴西继续面临来自复杂网络行为者的日益严重的威胁,防御这些极具针对性的鱼叉式网络钓鱼活动需要采取多层次的方法,将技术防御与强大的用户教育相结合。
转自安全客,原文链接:https://www.anquanke.com/post/id/300950
封面来源于网络,如有侵权请联系删除
