近日,360数字平安大脑监测到新一轮垂钓攻击,攻击者以“发票.rar”“工资提拔名单.rar”“回单凭证电脑版.zip”等为名称,通过立即通信软件、邮件等体例,传布远控木马。攻击目的为各类公司、企业、政府机构的财政相关人员,目前已监测到数千用户被攻击。攻击者利用的假发票页面,模拟coremail的正规页面,具有很强利诱性。

以捕捉到的此中一个木马为例,该木马以“发票.rar”名称停止传布,压缩包内文件包罗发_票.exe、cl32.dll、发_票.data,属于典型的“白操纵”启动器木马。此中“发_票.exe”属于文件办理器软件NexusFile的组件。而cl32.dll 是用于劫持正规法式的“木马加载器”,该木马加载器通过读取设置装备摆设,来施行加载器功用。加载器会从hxxp[:]//43.136.40.*:8080/7X/client.dll下载远控组件并加载施行。攻击者还利用VMPRotect对cl32.dll停止了庇护。通过对client.dll的阐发,确认该远控为“开阔云远控”,目前其上线地址与加载器地址不异,该远控是一款处于开发阶段的“贸易”远控,常被用来做为攻击东西。从“官方”介绍页面能够看到,该远控有远控桌面、文件传输、远控语音视频监听、键盘记录等各类长途控造功用,可以实现对目的设备的长途监视与控造,窃取与窜改用户的秘密文件与数据。

从垂钓文件定名可知,此次垂钓攻击的次要目的为企事业单元的财政相关人员。360数字平安建议,企业办理员应加强排查防御,不随便翻开未知平安性文件。此外,企业办理员能够按照IOCs信息,通过设置装备摆设末端平安黑名单,对木马文件停止查杀;同时,办理员可在企业平安网关、防火墙、NDR类设备中,添加IOCs黑名单,拦截和查杀该木马。

除针对性的平安防备,360数字平安建议政企用户成立全面的数字平安防御系统,准确安拆平安防护软件,以免重要数据泄露而产生不成逆的丧失。(孔繁鑫)

来源: 光亮网