Нортон LifeLock фішинг заражає жертв троян віддаленого доступу

Зловмисники за нещодавню фішингову кампанію використав підроблене Нортон LifeLock документ для того, щоб обдурити жертв в установці троян віддаленого доступу (щура) на своїх системах.

Інфекція починається з документа Microsoft Word, що містить шкідливі макроси. Однак, щоб отримати користувачів, щоб включити макроси, які за замовчуванням відключені, загроза актора за кампанію використав підроблене захищений паролем Нортон LifeLock документ.

Постраждалі просять увімкнути макроси та ввести пароль, надані у фішинговий лист, що містить документ, щоб отримати доступ до нього. Пало-Альто мережі блок 42, який відкрив кампанію, також встановлено, що пароль діалогове вікно тільки у верхньому або нижньому регістрі літери 'C'. Якщо пароль неправильний, шкідливих дій не продовжувати.

  • Акула танк вузла стає жертвою фішинг-атаки
  • Шкідливі файли відписується електронною поштою безпеки продукції
  • Корпорація Майкрософт виявить нове зло, корп шкідливих атак

Якщо користувач не вводить правильний пароль, макрос продовжує виконання та будує командний рядок, який встановлює легальне програмне забезпечення дистанційного керування, Програми менеджера.

Створення наполегливість

Бінарний щур завантажується і встановлюється на комп'ютері користувача за допомогою 'команди msiexec' у службі інсталятора Windows.

В новій доповіді, дослідники в Пало-Альто мереж блок 42 пояснив, що MSI вантажопідйомності встановлюється без будь-яких попереджень і додає скрипт PowerShell у Windows папку Temp. Це використовується для збереження і скрипт грає роль рішення для резервного копіювання для встановлення програми менеджера.

Перед тим, як сценарій продовжує свою роботу, він перевіряє, щоб побачити, чи антивірус або Аваст або AVG встановлена ​​в системі. Якщо це так, вона припиняє роботу на комп'ютері жертви. Якщо скрипт виявляє, що цих програм немає на комп'ютері, він додає файли потрібно компанії netsupport Manager в папку з випадковим ім'ям, а також створює ключ у реєстрі для presentationhost.exe головний виконуваний файл з ім'ям за наполегливість.

Не пропусти:  Вибираємо мотобур

Блок 42 вперше відкрив кампанію на початку січня і вчені відстежували, пов'язану з листопада 2019 року, яка показує, що ця кампанія є частиною більшої операції.

  • Тримайте ваші пристрої захищені найкращі антивірусні програми

Через BleepingComputer

мереж

Будь ласка, оцініть статтю
Translate »