行业资讯

首页-红旗娱乐-「再一次,改变生活」

2022-12-28 10:47:44 yqs888 5

首页-红旗娱乐-「再一次,改变生活」报道,在例行的威胁搜索演习中研究人员发现了一个恶意活动,我们观察到黑客组织正在传播DarkTortilla恶意软件。DarkTortilla是一个复杂的、基于.net的恶意软件,自2015年以来一直活跃在恶意软件市场。众所周知,该恶意软件会释放多个窃取程序和远程访问木马(rat),如AgentTesla、AsyncRAT、NanoCore等。最近,安全研究人员发表了一篇关于DarkTortilla及其详细行为的博客。根据他们的分析,DarkTortilla通过带有恶意附件的垃圾邮件感染用户。我们同时发现DarkTortilla背后的黑客组织还创建了网络钓鱼网站来分发恶意软件

如下所示,我们发现了两个伪装成合法Grammarly和Cisco网站的钓鱼网站。钓鱼网站链接可以通过垃圾邮件或网络广告等方式到达并感染用户

红旗娱乐


红旗娱乐


钓鱼网站下载恶意样本,进一步导致DarkTortilla感染用户。两个钓鱼网站提供的样本显示了不同的DarkTortilla恶意软件感染技术。有趣的是,恶意软件会修改受害者的.LNK文件的目标路径,以保持其持久性。这篇博客详细介绍了感染技术和有效载荷交付。

技术分析

来自Grammarly 钓鱼网站的DarkTortilla Loader:

当用户点击“Get Grammarly”按钮时,Grammarly钓鱼网站会下载一个名为“GnammanlyInstaller.zip”的恶意压缩文件。该zip文件还包含一个恶意的cabinet 文件,


GnammanlyInstaller.ce9rah8baddwd7jse1ovd0e01.exe”伪装成一个Grammarly可执行文件。下图显示了该文件的详细信息。

红旗娱乐



GnammanlyInstaller.ce9rah8baddwd7jse1ovd0e01.exe "此文件是一个cabinet文件(. cab),在执行后会在temp目录中删除一个基于.net的“EMPLOY~2.EXE”文件。“deploy ~2.EXE”文件是32位.NET可执行文件,sha256值为“8cabfe5b8eacb81a456f3e2caa4da76ee3123e77603e2dfd338c283aa8f6cfcd”。

执行时. NET可执行文件从远程服务器下载加密文件" hxxps://atomm.com[.]br/. famous /acme-challenge/ol/ Fjawtld[.]png ",使用RC4逻辑解密并在内存中执行。下图显示了恶意软件用来解密文件的代码片段。


首页
产品
新闻
联系