據(jù)國(guó)外安全研究人員最近發(fā)現(xiàn)了兩個(gè)單獨(dú)的惡意軟件活動(dòng)，其中一個(gè)是Ursnif數(shù)據(jù)竊取木馬和GandCrab勒索病毒軟件組合在野外分發(fā)，而第二個(gè)僅用Ursnif惡意軟件對(duì)用戶設(shè)備進(jìn)行感染。

這兩個(gè)惡意軟件活動(dòng)似乎都是兩個(gè)獨(dú)立的網(wǎng)絡(luò)犯罪集團(tuán)操縱，但發(fā)現(xiàn)其中還是有許多相似之處。這兩種攻擊都是通過包含嵌入了惡意宏的Microsoft Word文檔附件，進(jìn)行網(wǎng)絡(luò)釣魚電子郵件開始，然后使用Powershell提供無文件惡意攻擊。

Ursnif是一種用于竊取數(shù)據(jù)的惡意軟件，可以從受感染的計(jì)算機(jī)竊取敏感信息，諸如收集銀行憑據(jù)、用戶活動(dòng)、捕捉鍵盤信息、系統(tǒng)和流程信息以及部署其他后門程序等。GandCrab是一種勒索病毒軟件，去年早些時(shí)候被發(fā)現(xiàn)，像市場(chǎng)上的其他勒索軟件一樣，通過加密受感染系統(tǒng)上的文件，勒索受害者以數(shù)字貨幣支付贖金，而且黑客開發(fā)者主要在跟蹤極其復(fù)雜的DASH中要求付款。

[[256421]]

MS Docs + VBS宏= Ursnif和GandCrab感染

國(guó)外安全機(jī)構(gòu)Carbon Black的安全研究人員發(fā)現(xiàn)了第一個(gè)發(fā)布兩個(gè)惡意軟件威脅的惡意軟件活動(dòng)，定位了大約180種針對(duì)的是惡意VBS宏用戶的MSWord文檔。如果成功執(zhí)行惡意VBS宏，將運(yùn)行PowerShell腳本，然后使用一系列技術(shù)在目標(biāo)系統(tǒng)上下載并執(zhí)行Ursnif和GandCrab。PowerShell腳本在base64中編碼，執(zhí)行下一個(gè)感染階段，負(fù)責(zé)下載主要惡意軟件負(fù)載以對(duì)系統(tǒng)進(jìn)行危害。其中，第一個(gè)有效負(fù)載是PowerShell單行程序，用于評(píng)估目標(biāo)系統(tǒng)的體系結(jié)構(gòu)，然后從Pastebin網(wǎng)站下載額外的有效負(fù)載，該負(fù)載在內(nèi)存中執(zhí)行，使傳統(tǒng)的反病毒技術(shù)難以檢測(cè)其活動(dòng)。

這個(gè)PowerShell腳本是Empire Invoke-PSInject模塊的一個(gè)版本，只有很少的修改，該腳本將采用base64編碼的嵌入式PE [Portable Executable]文件，并將其注入當(dāng)前的PowerShell進(jìn)程。

最后在受害者的系統(tǒng)上安裝一個(gè)GandCrab勒索病毒軟件的變體，將鎖定系統(tǒng)，直到受害者用數(shù)字貨幣支付贖金，題外話是就算受害者支付了贖金，是否能解開勒索軟件的鎖定，其實(shí)還是一個(gè)未知數(shù)，所以我經(jīng)常說相信一個(gè)勒索者的信譽(yù)，那是對(duì)自己最大的傷害。

同時(shí)，惡意軟件還從遠(yuǎn)程服務(wù)器下載Ursnif可執(zhí)行文件，一旦執(zhí)行，它將獲取系統(tǒng)指紋，監(jiān)視Web瀏覽器流量以收集數(shù)據(jù)，然后將其發(fā)送給攻擊者的命令和控制(C&C)服務(wù)器。

MS Docs + VBS宏= Ursnif數(shù)據(jù)竊取惡意軟件

另外，Cisco Talos安全研究人員發(fā)現(xiàn)的第二個(gè)惡意軟件活動(dòng)利用包含惡意VBA宏的Microsoft Word文檔，為Ursnif惡意軟件的一種變體提供下載。此惡意軟件攻擊還會(huì)在多個(gè)階段危及目標(biāo)系統(tǒng)，從網(wǎng)絡(luò)釣魚電子郵件到運(yùn)行惡意PowerShell命令，以獲得無文件持久性的攻擊，然后下載和安裝Ursnif惡意軟件竊取計(jì)算機(jī)數(shù)據(jù)。

[PowerShell]命令有三個(gè)部分。第一部分創(chuàng)建一個(gè)函數(shù)，后用于解碼base64編碼的PowerShell。第二部分創(chuàng)建一個(gè)包含惡意DLL的字節(jié)數(shù)組，第三部分執(zhí)行第一部分中創(chuàng)建的base64解碼函數(shù)，其中base64編碼的字符串作為函數(shù)的參數(shù)。返回的解碼后的PowerShell隨后由簡(jiǎn)寫的Invoke-Expression(iex)函數(shù)執(zhí)行。

一旦在受害計(jì)算機(jī)上執(zhí)行，惡意軟件將從系統(tǒng)收集信息，打包成CAB文件格式，然后通過HTTPS安全連接將其發(fā)送到其命令和控制服務(wù)器。Talos研究人員在他們的博客文章中發(fā)布了一份攻擊指標(biāo)(IOC)列表，以及在受感染機(jī)器上刪除的有效負(fù)載文件名稱，可以幫助您在感染網(wǎng)絡(luò)之前檢測(cè)并阻止Ursnif惡意軟件。