近日,有安全专家发现了一个名为“GO#WEBBFUSCATOR”的新恶意软件活动,该活动依赖网络钓鱼邮件、恶意文档和来自詹姆斯韦伯望远镜的空间图像来传播恶意软件。
安全专家称,该恶意软件的感染链,始于一个带有恶意文档“Geos-Rates.docx”的网络钓鱼电子邮件。文档中含一个经过混淆的 VBS 宏,如果在 Office 套件中启用了宏,该宏会自动执行。然后,代码从远程资源(“xmlschemeformat[.]com”)下载 JPG 图像(“OxB36F8GEEC634.jpg”),使用 certutil.exe 将其解码为可执行文件(“msdllupdate.exe”)。在图像查看器中,.JPG文件显示了由 NASA 于 2022 年 7 月发布的星系团 SMACS 0723。
通过动态恶意软件分析推断的内容来看,可执行文件通过将自身复制到“%%localappdata%%\microsoft\vault\”并添加新的注册表项来实现持久性。执行后,恶意软件会与命令和控制 (C2) 服务器建立 DNS 连接并发送加密查询。值得注意的是,该恶意软件是用 Golang 编写的,Golang 作为网络犯罪分子青睐的编程语言,因其跨平台的属性(Windows、Linux、Mac),对逆向工程和分析的抵抗力更强。
针对此类高发的钓鱼邮件攻击,360数字安全集团建议企业员工提高安全意识,不随意点击来源不明的邮件、文档、链接等,并及时为操作系统、IE、Flash等常用软件打好补丁。此外,360云端安全专家还提供7*24小时安全保障服务,针对存在此风险的用户检查并更新设备防护策略,确保用户设备可以防护此风险。若获取更多安全风险处置建议,请联系:
电话:400-0309-360
邮箱:anfu-b@360.cn