HP Wolf Security 的安全研究人員剛剛發現了一個新的惡意軟體系列(惡意軟體)這使得資訊被竊取。這種名為 SVCReady 的威脅隱藏在駭客透過垃圾郵件活動發送給受害者的 Word 文件中。
到目前為止,沒有什麼新鮮事。但 SVCReady 有一個特殊的功能,使其如此特別。這惡意軟體不使用 PowerShell 或 MSHTA 指令下載即時負載(有效負載)。開啟 Word 文件就足夠了,並觸發 VBA 巨集命令的執行,該命令將隱藏在文件屬性區域中的程式載入到記憶體中。
然後,程式碼使用 Windows 程式 rundll32.exe 啟動 DLL 程式庫的執行。正是這個 DLL 庫透過與盜版伺服器通訊來完成下載工作。它還進一步收集使用者名稱、時區和可能的網域成員身分等資訊。透過查詢註冊表,該程式還收集有關 BIOS、電腦製造商、運行進程和已安裝程式的資料。它還可以進行螢幕截圖並了解已連接的 USB 裝置的數量。隨後,它再次嘗試使用systeminfo.exe進程收集系統資訊。該惡意軟體還嘗試檢測它是否在虛擬機器中運行。然後它會進入睡眠狀態 30 分鐘。
與 ReLine Stealer 惡意軟體相關
4 月 26 日檢測到時,研究人員的代碼分析確定 SVCReady 正在下載 RedLine Stealer 程式。該惡意軟體旨在竊取密碼、付款資訊和瀏覽資料。
據 HP Wolf Security 研究人員稱,自 4 月底發現以來,該程式已經不斷發展。因此,與駭客伺服器交換的資料現在已加密,而最初情況並非如此。然而,該惡意軟體存在程式錯誤,例如,導致其在電腦重新啟動時停止運作。此外,該程式還會在登錄中建立一個特定的按鍵,使其易於檢測。
但研究人員表示,該惡意軟體正在不斷發展,並可能成為更嚴重的威脅。此外,它與網路犯罪集團使用的程序有相似之處TA551。該組織利用 Microsoft Exchange 伺服器中的漏洞竊取使用者名稱和密碼、闖入電子郵件信箱並透過重新導向到銀行木馬來回覆電子郵件。因此,我們必須保持高度警覺。
來源 : 惠普
