Excel 4.0宏功能合并到Ursnif交付活动中 安全资讯

admin 3月前 89

安全研究人员发现了一个利用Excel 4.0宏功能的新Ursnif恶意软件分发活动。

在对最早可追溯至1月的Ursnif传递活动的分析中,Morphisec发现许多恶意文件都利用.xlsm作为扩展名。他们的检测得分也为“ 3”,该评分太低,无法使用基于静态启发式的方法将文件标记为可疑。这导致许多基于检测的解决方案丢失了文件。

打开后,文件将利用文本询问用户是否启用编辑和内容。与文件使用图像发出相同请求相比,此技术可帮助文件更有效地规避OCR启发式检测方法。

启用内容可以激活Excel 4.0的定义功能:使用宏工作表部署XLM宏。在这种情况下,隐藏重度混乱的表会被隐藏并利用多个“ RUN”命令,然后以一些“ CALL”和“ EXEC”指令结束。这些指令命令Excel 4.0宏通过Win32 API函数下载Ursnif / Gozi。

涉及Ursnif的其他攻击

安全研究人员在过去一年中还检测到其他几次Ursnif运动。例如,早在2019年8月,Fortinet发现了一个新活动,该活动使用Microsoft Word文档传播了该恶意软件的新变种。

2020年1月,SANS Internet Storm Center发起了一次垃圾邮件运动,该活动以带有威胁的受密码保护的ZIP存档攻击德国用户。最近一次是在2020年4月,Zscaler观察到了一次攻击活动,该活动包含mshta而不是PowerShell作为其第二阶段有效载荷,最终交付了Gozi。

防御恶意宏

安全专业人员可以通过实施日志记录和查看日志中是否有可疑活动来指示恶意软件感染,从而帮助防御恶意宏。公司还应该对持续的安全意识培训进行投资,以使员工不大可能打开带有恶意宏的电子邮件附件。


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者admin少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者admin少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:Drag and Drop Multi File Upload - Contact Form 安全漏洞
下一篇:Trickbot使用BazarBackdoor获得对目标网络的完全访问权限
Whatever is worth doing is worth doing well. juvenile hacker league
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回