详细内容或原文请订阅后点击阅览
月球蜘蛛通过 FakeCaptcha 扩展其网络
关键发现Lunar Spider通过使用交叉原始资源共享(CORS)漏洞损害脆弱网站,尤其是在欧洲,扩展了其初始访问方法。然后将这些网站注入FakeCaptcha框架。 FakeCaptcha框架是通过JavaScript脚本引入的,该脚本生成iframe,并用攻击者的FakeCaptcha页面覆盖原始站点的内容。 …继续阅读Lunar Spider通过Fakecaptcha→
来源:NVISO Labs _恶意软件主要发现
- Lunar Spider 通过利用跨源资源共享 (CORS) 漏洞危害易受攻击的网站(尤其是在欧洲),从而扩展了其初始访问方法。然后,这些网站被注入 FakeCaptcha 框架。FakeCaptcha 框架是通过生成 iframe 的 JavaScript 脚本引入的,将原始网站的内容与攻击者的 FakeCaptcha 页面覆盖。该框架包括额外的受害者监控功能、跟踪点击并将其发送到 Telegram 机器人通道。感染链涉及包含合法可执行文件的 MSI 下载器 来自 Intel 的 (EXE) 和名为 Latrodectus 的恶意 DLL。MSI 下载程序将 Intel EXE 注册到 Run 注册表项中,确保其执行。然后,它通过利用 DLL 搜索顺序劫持机制来旁加载 Latrodectus DLL。最终的有效负载 Latrodectus V2 与其命令和控制 (C2) 服务器通信,并根据其构建配置执行进一步的枚举命令。为了支持此威胁的识别,该博客为攻击者的基础设施和内部环境提供了搜索和检测机会,以及攻击者的指标 妥协。