關鍵詞

惡意軟件

一個復雜的惡意軟件活動通過冒充稅務機構的精心設計的網絡釣魚電子郵件，傳播 Grandoreiro 銀行木馬，并將目標鎖定在墨西哥、阿根廷和西班牙的用戶。

此次攻擊利用了多階段感染鏈，首先是虛假的政府通知，聲稱收件人面臨巨額稅收處罰，然后制造緊迫感，迫使受害者與這些通信中嵌入的惡意鏈接進行互動。該活動采用了復雜的基礎設施，利用了托管在 Contabo 網絡上的虛擬專用服務器 (VPS)，表明威脅行為者越來越傾向于使用合法托管服務來逃避檢測。

攻擊者專門利用 contaboserver.net 下的子域名，例如 vmi2500240.contaboserver.net，這些子域名與特定的虛擬機相連。

這種方法為攻擊者提供了合法性的外表，同時使他們能夠在域名被安全解決方案標記時快速轉移基礎設施。

當受害者點擊這些網絡釣魚電子郵件中的鏈接時，他們會被重定向到這些由 Contabo 托管的地理圍欄 URL，其中顯示一個虛假的稅務文件門戶。

該頁面包含一個“下載 PDF”按鈕，單擊后會啟動一系列重定向，最終導致從合法的文件共享服務Mediafire 下載受密碼保護的 ZIP 文件。

這種在攻擊鏈中使用多個合法服務的技術大大增加了檢測工作的復雜性。

Forcepoint 研究人員發現，這些攻擊者在每次活動中頻繁更改 contaboserver.net 下的子域名，這使得安全解決方案難以跟上阻止力度。

研究人員指出，攻擊者巧妙地使用地理圍欄技術來瞄準特定區域，同時避開安全研究人員的環境。

感染機制分析

當受害者解壓包含高度混淆的 Visual Basic 腳本的受密碼保護的 ZIP 文件（密碼：2025）時，感染過程就開始了。

該 VBS 文件包含大量故意制造的噪音，其中使用句號和其他不需要的字符來掩蓋其真實功能。

腳本內嵌有 base64 編碼的有效負載，并被分割成多個塊。

mdanvtBPzcJrzVhDFrqf5="2bQ5jY+g7j/hPYqSWSISCZAHf/uE2exxvDhADy+eRpbC9mEyEcJc8zRc6xlNkh/CGuWgB7jD7PYH9bWPjEKyVA7b763DFQrtpxW5JsZrI3nauYrOp42x mdanvtBPzcJrzVhDFrqf3="0hWpMee4AT6Ew/KV012S0knu283snE9ckrkJQMRbZFDU80+hhijt9MSWJxiBkK30R08vNqAJ8nauvhaymiPTFrXP4KT09F4a5xitt1WjV+EJ07A+1cAP

執行時，腳本會連接這些片段并對其進行解碼以提取另一個 ZIP 文件，并將其放入公共用戶目錄中。

此 ZIP 包含一個用 PDF 圖標偽裝的 Delphi 編譯的可執行文件，運行時會顯示偽造的Adobe Reader錯誤消息。

這種社會工程策略讓用戶相信他們正在處理合法的文檔問題，而惡意軟件則會悄悄地建立持久性。

根據版本信息，該可執行文件聲稱來自“ByteCore Technologies 706092 Inc.”，它使用不尋常的端口配置（例如 42195）連接到命令和控制服務器。

該惡意軟件專門針對金融信息，掃描比特幣錢包目錄并通過注冊表查詢（如“HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\NIs\Sorting\Versions”）收集系統信息，以確定語言設置和機器標識符。

Grandoreiro 木馬的多層混淆技術和對合法基礎設施的使用突顯了現代威脅行為者如何不斷發展其策略以繞過安全控制。

組織必須實施多層防御措施，以便檢測整個攻擊鏈中的此類威脅，從最初的網絡釣魚嘗試到有效載荷執行和命令與控制通信。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！