详细内容或原文请订阅后点击阅览
黑客利用标志性的Windows XP游戏来隐藏恶意脚本
心爱的扫雷怎么突然变成了数字武器?
来源:安全实验室新闻频道网络犯罪分子正在使用 Microsoft 传奇游戏扫雷中的 Python 克隆代码来隐藏针对乌克兰金融和保险组织的攻击中的恶意脚本。研究机构 CERT-UA 和 CSIRT-NBU 报告了这一情况,并将这些攻击归因于一个名为“UAC-0188”的组织。
报告 CERT-UA在恶意活动中,黑客使用合法的游戏代码来隐藏下载和安装 SuperOps RMM 的 Python 脚本。另一方面,SuperOps RMM 是合法的远程管理软件,允许攻击者访问受感染的系统。
CERT-UA研究表明,至少有五次黑客利用这种方法对欧洲和美国的金融和保险公司进行了攻击,由此我们可以得出结论,攻击的地域不仅限于乌克兰,而且很可能会扩大未来到其他国家。
攻击首先从地址“support@patent-docs-mail.com”发送一封电子邮件,声称代表一家医疗中心。电子邮件的主题行写着“医疗文件的个人网络档案”。
support@patent-docs-mail.com要求收件人从 Dropbox 下载 33 MB 的文件。该文件包含扫雷游戏的 Python 克隆代码以及从“anotepad.com”下载其他脚本的恶意 Python 代码。
游戏代码用于屏蔽包含恶意代码的 28 MB Base64 字符串。游戏还包含一个“create_license_ver”函数,用于解码和执行隐藏的恶意代码。
对 base64 字符串进行解码,创建一个包含 SuperOps RMM 的 MSI 安装程序的 ZIP 文件。然后使用静态密码提取并执行该文件。
SuperOps RMM 是一种合法的远程访问工具,但在本例中,它用于向攻击者提供对受害者计算机的未经授权的访问。