收到报价相关电子邮件请注意!可能是钓鱼!恶意软件SmokeLoader锁定台湾企业下手
支付動態 · 2024-12-03

资安业者Fortinet针对9月出现的恶意软件SmokeLoader攻击行动提出警告,并指出黑客锁定台湾多个产业而来,假价报价名义寄送钓鱼信,意图散布恶意程序,于受害电脑窃取各式帐密数据

今年5月,欧洲刑警组织与十多个国家的执法单位联手,针对包含SmokeLoader在内的多款恶意程序加载工具(Loader)、僵尸网络,摧毁相关基础设施,并逮捕嫌犯、冻结不法所得,但事隔数个月,这些黑客又再度从事攻击行动,而且,这次疑似针对台湾而来。

资安业者Fortinet指出,他们在今年9月看到新一波的SmokeLoader攻击行动,黑客针对台湾的制造业、医疗保健、信息技术,以及其他领域的公司而来。值得留意的是,过往攻击者将SmokeLoader作为散布其他恶意程序的管道,但在这波资安事故里,黑客从C2服务器下载其他的SmokeLoader插件程序,以便进行后续的恶意活动。

攻击者先是通过钓鱼信对目标下手,他们假借提供报价的名义,要求收信人依照指示进行确认、回复,一旦收信人打开附件的报价数据文件,电脑就有可能运行VBS脚本,启动恶意程序加载工具AndeLoader,最终加载SmokeLoader的有效酬载。

值得留意的是,虽然黑客对多家公司发动攻击,但他们似乎使用几乎一模一样的钓鱼信,甚至连收信人都相同。研究人员提及,攻击者在签名档的文本及电话号码,与内文的字体及颜色有所不同,他们认为这些文本很有可能从其他地方剪贴而来。

针对钓鱼信挟带的恶意附件Excel档,攻击者先是利用RCE漏洞CVE-2017-0199,触发埋在试算表的恶意链接,自动下载另一个恶意文件并打开。

攻击者下载的文件大致分成2种,其中一种是Word文件,此时攻击者会触发Office方程序编辑器的RCE漏洞CVE 2017-11882运行Shell Code,然后借由特定API下载VBS文件,运行AndeLoader。

而另一种则是HTML应用程序文件(HTA),该文件内含经过算法处理的VBS代码,一旦运行,电脑就会解密VBS并运行PowerShell代码,下载与AndeLoader有关的VBS文件。附带一提的是,攻击者为了扰乱研究人员分析,他们在VBS档的符号及参数当中,加入大量空白。

但无论是那一种攻击链,最终都是通过AndeLoader加载SmokeLoader,并加载对应的插件程序窃取电脑的各式帐密数据。研究人员总共发现有9款插件程序,可供攻击者从浏览器挖掘帐密数据、自动填写的内容,也可从Outlook和Thunderbird找寻特定的信件数据,此外,这些插件也可从FileZilla、WinSCP收集帐密数据。

热门文章
菲律宾博彩技术赛道迎来新变局,B2B 供应模式加速渗透
东南亚资讯
超级PAC筹资4800万美元:体育博彩势力加码
游戏风向
印度最高法院受理公益诉讼,要求全国禁封“伪装”成社交游戏的赌博平台
游戏风向
哈萨克斯坦计划对在线赌场促销活动进行处罚
游戏风向
Zenith携手HUIDU,冠名赞助2026年世界杯嘉年华官方巡回活动
线上游戏
巴西颁布新法赋权央行封锁非法博彩账户及 Pix 交易
支付动态
2027 Global Game Connect(GGC)斯里兰卡招商全面开启!业务人脉尽在掌握!
灰度头条
张侨伟参议员排除全面禁止,敦促菲律宾规范网络赌博
东南亚资讯
密西西比州众议院委员会推进提议增加赌场税的法案
游戏风向
亚洲顶尖游戏供应商多寶游戏 DB GAMING,开创亚洲市场的唯一首选
广告营销
JILI 宣布与全球板球传奇 AB de Villiers(ABD)达成重磅战略合作
体育游戏
英国确认各垂直行业的赌博税税率
游戏风向
越南博彩管控逐步放宽,惟本土需求仍显乏力
东南亚资讯
巴西拟将博彩税率提高至24% 税收将用于社保和医疗领域
游戏风向
PropellerAds 分享了新的 iGaming 案例研究:在 3 个月实现 97,674 次安装和 12,701 笔存款
广告营销
首页
游戏
合作
发现
我的