行业新闻与博客

据 Fortinet 安全研究人员称，最近发现了一种多阶段恶意软件攻击，其主要目标是 Windows 系统。

该活动于 8 月发现，采用了一系列恶意策略，能够以多种方式危害组织。

根据 Fortinet 安全专家 Cara Lin 周一发布的技术博客文章，攻击从网络钓鱼电子邮件开始，以附件形式发送恶意 Word 文档。该文档包含欺骗性图像和伪造的 reCAPTCHA，以引诱收件人点击。一旦激活，该文档就会触发嵌入的恶意链接，为攻击的进展奠定基础。

从特定 URL 下载的初始加载程序部署二进制填充规避策略，将文件大小增加到 400 MB。然后，它释放一系列有效负载，包括用于键盘记录和密码恢复的 OriginBotnet、用于加密货币盗窃的 RedLine Clipper 以及用于收集敏感信息的 AgentTesla。

林解释说，每个攻击阶段都经过精心策划，以保持持久性并逃避检测。该恶意软件采用加密和解密技术，利用 Base64 编码、AES-CBC 和 AES-ECB 算法来隐藏其活动。

RedLine Clipper 是恶意组件之一，专门通过更改用户的系统剪贴板活动以将加密货币钱包地址替换为属于攻击者的地址来盗窃加密货币。这种策略针对在交易过程中复制和粘贴钱包地址的用户，导致资金意外转移给攻击者。

AgentTesla 是另一种恶意软件变体，旨在记录击键、访问剪贴板并扫描磁盘以获取有价值的数据，同时与命令和控制 (C2) 服务器进行通信。它建立持久性并可以通过各种通信渠道泄露数据。

第三个组件 OriginBotnet 收集敏感数据并与其 C2 服务器通信，下载其他文件以进行键盘记录和密码恢复。它采用加密技术来混淆其流量。

“这次攻击展示了逃避检测并维持受感染系统持久性的复杂技术，” 林警告说。

敦促组织保持警惕，加强网络安全防御，并教育员工了解网络钓鱼电子邮件的危险，以有效降低风险。