close
對於從事航空、旅行、貨運相關行業的人們來說,還請對此類郵件附件保持高度警惕。
偽造的 PDF 文件圖像,包含瞭一個嵌入式的鏈接(通常基於合法 Web 服務的濫用)。攻擊者會利用該鏈接來下載惡意 VBScript 腳本,以加載遠程訪問用的特洛伊木馬。
用於初始感染的 VBS 文件(圖 via Hossein Jazi)
之後,木馬會下載惡意軟件所需的其它模塊,將代碼註入 RegAsm、InstallUtil 或 RevSvcs 之類的進程中,最終將竊取的登錄憑據、屏幕截圖、網絡攝像頭、瀏覽器、剪貼板、以及系統和網絡等數據,上傳至攻擊者的指定的服務器。
Snip3 攻擊流程圖(圖自 Morphisec)
微軟敦促受影響的行業從業者們主動驗證其是否受到瞭此類攻擊,並且分享瞭可在生產環境中查找類似惡意軟件活動的高級查詢工具。有需要的 IT 管理員,可移步至 GitHub 瞭解詳情。
全站熱搜
留言列表
