第187期安全事件
2019/06/10-2019/06/16
| 英文標(biāo)題 | How Ursnif Evolves to Keep Threatening Italy |
| 中文標(biāo)題 | 垃圾郵件活動(dòng)針對(duì)意大利分發(fā) Ursnif 變種 |
| 作者及單位 | ZLAB-YOROI |
| 內(nèi)容概述 |
Yoroi 檢測(cè)到 Ursnif 變種針對(duì)意大利的新攻擊活動(dòng),Ursnif 通過對(duì)國家檢查和大量代碼混淆,提高了對(duì)目標(biāo)的選擇能力 及其反分析能力。攻擊者仍使用垃圾郵件附件的惡意 Excel 文檔啟用感染鏈,啟用宏后將檢索包含 Base64 編碼腳本的單元格, 然后開啟執(zhí)行一系列多層混淆的 Powershell 腳本階段。首先對(duì) Windows 版本進(jìn)行目標(biāo)選擇,分為 Windows 10 和其它。對(duì)于 多數(shù) windows 版本,將下載使用 LSB 隱寫技術(shù)隱藏 powershell 代碼的圖像,檢查意大利語環(huán)境,分別執(zhí)行接下來的四層加 密混淆 Powershell,最終釋放 Ursnif 銀行木馬。Windows 10 版本與其它不同的是,圖片隱寫命令由 Powershell 直接調(diào)用,進(jìn) 行兩次國家檢查,依次執(zhí)行六層的混淆 powershell 階段,最終釋放相同載荷。 |
| 新聞鏈接 |
https://blog.yoroi.company/research/how-ursnif-evolves-to-keep-threatening-italy/ |