Bazarbackdoor恶意软件再次感染设备。这次,网络安全研究人员发现,新的网络钓鱼策略依赖于CSV文本文件,即用于安装该特洛伊木马的工具。
什么是CSV文件?
CSV或逗号分隔的值文件是由由逗号划分的数据组成的特殊文件。通常,文本的第一行中有一个描述或标头。
作为参考,易怒的计算机写道,美国国家的资本可以写在简单的CSV文件中。逗号用作包含数据的列的分离工具。
当您通过Microsoft Excel打开此文件时,您只能在每行中看到文本。有些人使用CSV将数据传输到其他应用程序,例如密码管理器或数据库。
但是,Excel应用在可执行命令方面具有明显的缺点。可以通过动态数据交换(DDE)功能来操纵输出。
结果,黑客可以利用它来安装恶意软件并通过执行不同的命令来感染用户的设备。
相关文章:Trackbot恶意软件现在带有额外的保护,现在可以绕过实时网络注射
网络钓鱼活动促进了Bazarbackdoor
Chris Campbell是Twitter上的恶意软件,最近发布了臭名昭著的特洛伊木马正在使用CSV文件传播感染。因此,威胁参与者现在在此之后获得了系统的访问Bazarbackdoor恶意软件已安装。
更重要的是,用户应注意将其引导到未知CSV目的地的可疑链接。为了进行网络钓鱼攻击,黑客使用了伪装的电子邮件作为“付款汇款建议”。
密切观察文件中的数据后,一列具有可疑的“ WMIC”调用,可以提示PowerShell命令。
如果威胁参与者绕过了WMIC.EXE的许可,他们现在可以通过立即执行PowerShell命令来输入信息。
对于此事件,据报道,网络犯罪分子使用此可执行命令打开了PowerShell过程。后来,这将引导该人进入“远程URL”。
为了清楚起见,允许两个提示都可以操作将导致通过Excel启动PowerShell脚本。发生这种情况时,黑客现在可以下载DLL。从那里开始,他们现在可以启动一个过程,将Bazarbackdoor安装在系统或设备中。
网络钓鱼陷阱会伤害更多的人
该案引起了Advintel首席执行官Vitali Kremez的注意,他说,越来越多的人因这一计划而失败。
克雷姆斯说:“基于我们对Bazarbackdoor遥测的可见性,在过去的两天中,我们观察到了102个实际的非盒装公司和政府受害者。”
恶意软件还参与了2021年11月发生的事件。ZDNET报道Bazarbackdoor利用Windows 10中的特殊应用功能。
要浏览有关网络安全的更多文章,请查看Tech Times的最新报告联邦调查局的警告北京冬季奥运会运动员和观众。您也可以阅读我们有关的书面故事MoonBounce恶意软件由卡巴斯基发现。
另请阅读:据称,联邦调查局从NSO集团购买了Pegasus间谍软件
本文由技术时报拥有
约瑟夫·亨利(Joseph Henry)撰写
