详细内容或原文请订阅后点击阅览
FakeSG 活动、Akira 勒索软件和 AMOS macOS 窃取者
在本报告中,我们分享了我们最新的犯罪软件发现:FakeSG 恶意软件分发活动传播 NetSupport RAT、新的类似 Conti 的 Akira 勒索软件和适用于 macOS 的 AMOS 窃取程序。
来源:Securelist _恶意软件报告简介
犯罪软件的格局多种多样。网络犯罪分子试图通过分发针对不同平台设计的各种类型的恶意软件,以各种可能的方式利用受害者。最近几个月,我们撰写了关于各种主题的私人报告,例如新的跨平台勒索软件、macOS 窃取程序和恶意软件分发活动。在本文中,我们分享了关于 FakeSG 活动、Akira 勒索软件和 AMOS 窃取程序的报告摘录。
要了解有关我们的犯罪软件报告服务的更多信息,您可以通过 crimewareintel@kaspersky.com 与我们联系。
crimewareintel@kaspersky.comFakeSG
“FakeSG” 是我们为新的 NetSupport RAT 分发活动起的名字。之所以选择这个绰号,是因为它模仿了臭名昭著的 SocGholish 分发活动。合法网站正在受到感染,并显示用户浏览器需要更新的通知。例如,请看下面的图片。单击通知会将恶意文件下载到设备。随着时间的推移,攻击者更改了下载 URL,以便更长时间地不被发现。然而,由于某些不为人知的原因,路径保持不变 (/cdn/wds.min.php)。
NetSupport RAT SocGholish登陆页面示例
下载是一个包含混淆代码的 JS 文件。执行时,它会从远程位置加载另一个脚本并设置 cookie。最后,它会显示更新浏览器的提示并开始自动下载另一个脚本。这一次,它是一个批处理脚本,可下载另一个批处理脚本、一个 7z 文件和 7z 可执行文件。
第二个批处理脚本通过创建名为“VCC_runner2”的计划任务来处理持久性,提取和复制恶意软件等。7z 文件的一部分是包含 C2 地址的恶意配置文件(见下图)。
C2 地址
Akira
AMOS
Redline 讨论 博客文章 Redline 和 Rhadamantys 活动恶意软件安装说明