网络犯罪分子现在正在渗透我们的Micro

2024/9/8 来源：不详

专家们发现了一项新的网络犯罪活动，该活动滥用Excel电子表格来传播令人讨厌的木马恶意软件。

MorphisecLabs的网络安全研究人员发现俄罗斯威胁参与者FIN7（又名Carbanak）通过邮寄的XLL和XLM文件分发了一个小型、轻量级的远程访问木马(RAT)，它是JSSLoader的一种变体。

这些文件带有武器化的插件，允许攻击者窃取数据，在目标端点上建立持久性，并让RAT执行自动更新等。

在雷达下飞行

这种特殊的RAT自年12月以来一直存在。不过，在此活动中，攻击者正试图分发未签名的文件，这意味着Excel将显示一个明确的警告，即运行该文件会带来风险。

研究人员解释说，如果受害者启用这些XLL文件，它们会使用xlAutoOpen函数中的恶意代码，将自己加载到内存中，然后从远程服务器下载第二阶段恶意软件。

之后，他们使用API调用来运行该过程。

尽管它具有相同的执行流程，但这个JSSLoader变体与旧的变体有些不同，因为它能够重命名所有函数和变量，以保持在防病毒和其他安全解决方案的雷达之下。

它还将字符串拆分为子字符串并在运行时将它们链接起来，以进一步避免被基于字符串的YARA规则检测到。

Morphisec补充说，这些新的避免检测方法以及有效载荷的传递方式足以让RAT远离大多数防病毒和端点保护解决方案。

该公司表示，在被发现之前，FIN7可以在整个受感染的网络中使用它进行持续数天甚至数周的横向移动。

威胁行为者是一个相对有创意的犯罪集团，最近在年1月被发现向受害者邮寄恶意U盘时成为头条新闻。