股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
【安(ān)全通告】警惕!MassLogger窃密软件来袭,利用(yòng)Office文(wén)档漏洞传播
发布时间 :2021年01月15日
类型 :勒索软件
分(fēn)享:
安(ān)全通告
近日,亚信安(ān)全截获了一款通过垃圾邮件传播的信息盗窃病毒MassLogger,一旦用(yòng)户打开邮件中(zhōng)的附件,就会在特定版本的Office软件上触发恶意代码执行漏洞,从黑客的C&C服務(wù)器上下载恶意软件到本机。这些恶意软件经过解码,加载DLL,最终执行信息盗窃病毒MassLogger。该病毒对自身代码进行了混淆,且采用(yòng)反射加载技(jì )术。其功能(néng)较多(duō),包括收集受害者的電(diàn)脑基本信息、浏览器配置信息、浏览器密码、邮箱配置、剪切板内容以及键盘记录等。
攻击流程
病毒详细分(fēn)析
RFQ 54635378.doc & Commercial Invoice .doc 分(fēn)析
该样本利用(yòng)Office WinWord漏洞CVE-2017-11882执行Shellcode,因Office工(gōng)具(jù)软件公(gōng)式编辑器使用(yòng)了不安(ān)全的函数strcpy()使得攻击者可(kě)以进行栈溢出攻击执行任意代码。
Shellcode执行的动作(zuò)是从C&C下载恶意文(wén)件并运行。C&C:hxxp://gooddns.ir/atlasx/atlasx.exe
Atlasx.exe分(fēn)析
将硬编码到自身的DLL加载到内存。
Fqbojh.dll分(fēn)析
调用(yòng)DLL中(zhōng)的函数检测杀毒软件。
调用(yòng)DLL函数检测虚拟环境。
调用(yòng)DLL函数新(xīn)开線(xiàn)程解密并加载执行木(mù)马MassLoggerBin.exe。
尝试链接C&C下载信息。
MassLoggerbin.exe分(fēn)析
该样本首先检测是否存在杀毒软件。
解密配置信息,包括FTP服務(wù)器地址,電(diàn)子邮件地址以及相应的账号密码。
目前此邮箱已无法访问。
收集系统相关信息(如:进程列表、CPU型号、國(guó)家地區(qū)等)和剪切板包含的文(wén)字信息。
查询注册表收集各个版本的Outlook的各种配置信息。
收集firefox浏览器存贮在本地的密钥数据库文(wén)件。
收集QQ浏览器配置信息。
收集Discord信息。
收集NordVPN信息。
键盘记录和剪切板记录信息。
将收集到的信息保存為(wèi)文(wén)本,通过SMTP上传到黑客服務(wù)器。
亚信安(ān)全产(chǎn)品解决方案
亚信安(ān)全病毒码版本16.467.60,云病毒码版本16.467.71,全球码版本16.469.00已经可(kě)以检测,请用(yòng)户及时升级病毒码版本;
亚信安(ān)全 DS DPI检测规则如下:
1008746-Microsoft Office Memory Corruption Vulnerability(CVE-2017-11882)
亚信安(ān)全OSCE VP检测规则如下:
1008746 - Microsoft Office Memory Corruption Vulnerability (CVE-2017-11882)
安(ān)全建议
及时更新(xīn)病毒码版本;
打开系统自动更新(xīn),并检测更新(xīn)进行安(ān)装(zhuāng);
不要点击来源不明的邮件以及附件;
不要点击来源不明的邮件中(zhōng)包含的链接;
请到正规网站或者应用(yòng)商(shāng)店(diàn)下载程序;
采用(yòng)高强度的密码,避免使用(yòng)弱口令密码,并定期更换密码;
尽量关闭不必要的端口;
尽量关闭不必要的网络共享;
受影响的Office版本如下,请用(yòng)户及时更新(xīn)office或者打上补丁程序:
Microsoft Office 2007 Service Pack 3
Microsoft Office 2010 Service Pack 2
Microsoft Office 2013 Service Pack 1
Microsoft Office 2016
IOCs
分(fēn)享到微信
X