摘要前几天我遇到了一个相当有趣的基于 VBS 的 DanaBot 下载程序,我认为值得快速写一下混淆方案和我观察到的其他几个 TPP。这次活动中使用的社会工程借口很有趣,因为它利用了“无人认领财产”主题的诱惑......阅读
Quick Post — Emotet: The Mummy Returns (Again)
Emotet 是一种模块化恶意软件,作为攻击者获得初始访问权限的首选传递平台,它一直主导着威胁领域。它从 2014 年左右的一个简单的银行木马演变为一个成熟的恶意软件分发服务,为其他威胁团体提供各种有效载荷。美国国土安全部此前表示,Emotet……阅读
DoppelDridex Delivered via Slack and Discord
摘要 最近的几次网络钓鱼活动试图通过在 Slack 和 Discord CDN 上部署的有效载荷来传播 Dridex 银行木马的变种。这是 DoppelDridex,是原始 Dridex 恶意软件的修改版本。它由以经济为动机的电子犯罪对手 DOPPEL SPIDER 运营。额外的工具通常作为辅助工具提供……阅读
“Squirrelwaffle” Maldoc Analysis
摘要 Squirrelwaffle 是一种新兴的恶意软件威胁,从 9 月 13 日左右开始,一些安全研究人员注意到了这一点。TheAnalyst,@ffforward 注意到“TR”僵尸网络上传递了一种新的有效载荷。恶意软件流量分析的 Brad Duncan 还观察到,这种新的加载程序是由与历史上传递 Qakbot 银行木马相同的“TR”基础设施传递的。他……阅读
Quick Post: Mummy Spider Delivers Emotet Maldocs for the Holidays
Emotet 是一个模块化恶意软件传递平台,在过去几年中一直主导着商品恶意软件威胁领域。它已经从一个简单的银行木马发展成为一个成熟的恶意软件分发服务,为其他威胁行为者团体传递各种有效载荷。美国国土安全部表示,Emotet 感染使国家付出了代价……阅读
Quick Post: Spooky New PowerShell Obfuscation in Emotet Maldocs
Emotet 是一个模块化恶意软件交付平台,在过去几年中一直主导着商品恶意软件威胁领域。它已经从一个简单的银行木马演变为一个成熟的恶意软件分发服务,为其他威胁行为者团体提供各种有效载荷。美国国土安全部表示,Emotet 感染使国家损失……阅读
摘要 Valak 恶意软件变种似乎是一种新兴威胁,因为其运营商的活动量有所增加。除了相对较新之外,Valak 还因其其他一些操作方面而引人注目,例如有趣的执行链和 VB 宏脚本中利用的一些非常规策略……阅读
Analysis of a Dridex Downloader with Locked Excel Macros
摘要前几天我遇到了一个相当有趣的 Dridex 恶意文档,我认为值得快速写一下我看到的混淆和反分析技术。这是一个 Excel 文档,其 VBA 宏项目被威胁行为者“锁定”以破坏分析。进一步的反分析包括大量……阅读
New Obfuscation Techniques in Emotet Maldocs
摘要 Emotet 是一个模块化恶意软件交付平台,在过去几年中一直主导着商品恶意软件威胁领域。它从一个简单的银行木马演变为一个成熟的恶意软件分发服务,为其他威胁行为者团体提供各种有效载荷。美国国土安全部表示,Emotet 感染……阅读
Quick Post: Analyzing Maldoc with “Do While” Loop in VBA Downloader
摘要 Emotet 是一个模块化恶意软件交付平台,在过去几年中一直主导着商品恶意软件威胁领域。它已经从一个简单的银行木马演变为一个成熟的恶意软件分发服务,为其他威胁行为者团体提供各种有效载荷。美国国土安全部表示…阅读
