首页-红旗娱乐-「再一次,改变生活」

首页-红旗娱乐-「再一次,改变生活」报道，在例行的威胁搜索演习中研究人员发现了一个恶意活动，我们观察到黑客组织正在传播DarkTortilla恶意软件。DarkTortilla是一个复杂的、基于.net的恶意软件，自2015年以来一直活跃在恶意软件市场。众所周知，该恶意软件会释放多个窃取程序和远程访问木马(rat)，如AgentTesla、AsyncRAT、NanoCore等。最近，安全研究人员发表了一篇关于DarkTortilla及其详细行为的博客。根据他们的分析，DarkTortilla通过带有恶意附件的垃圾邮件感染用户。我们同时发现DarkTortilla背后的黑客组织还创建了网络钓鱼网站来分发恶意软件

如下所示，我们发现了两个伪装成合法Grammarly和Cisco网站的钓鱼网站。钓鱼网站链接可以通过垃圾邮件或网络广告等方式到达并感染用户

钓鱼网站下载恶意样本，进一步导致DarkTortilla感染用户。两个钓鱼网站提供的样本显示了不同的DarkTortilla恶意软件感染技术。有趣的是，恶意软件会修改受害者的.LNK文件的目标路径，以保持其持久性。这篇博客详细介绍了感染技术和有效载荷交付。

技术分析

来自Grammarly 钓鱼网站的DarkTortilla Loader:

当用户点击“Get Grammarly”按钮时，Grammarly钓鱼网站会下载一个名为“GnammanlyInstaller.zip”的恶意压缩文件。该zip文件还包含一个恶意的cabinet 文件，

“
GnammanlyInstaller.ce9rah8baddwd7jse1ovd0e01.exe”伪装成一个Grammarly可执行文件。下图显示了该文件的详细信息。

GnammanlyInstaller.ce9rah8baddwd7jse1ovd0e01.exe "此文件是一个cabinet文件(. cab)，在执行后会在temp目录中删除一个基于.net的“EMPLOY~2.EXE”文件。“deploy ~2.EXE”文件是32位.NET可执行文件，sha256值为“8cabfe5b8eacb81a456f3e2caa4da76ee3123e77603e2dfd338c283aa8f6cfcd”。

执行时. NET可执行文件从远程服务器下载加密文件" hxxps://atomm.com[.]br/. famous /acme-challenge/ol/ Fjawtld[.]png "，使用RC4逻辑解密并在内存中执行。下图显示了恶意软件用来解密文件的代码片段。