详细内容或原文请订阅后点击阅览
互锁勒索软件小组通过FileFix部署新的基于PHP的老鼠
Interlock Ransomware组在针对多个行业的广泛广告系列中通过FileFix(ClickFix变体)部署了新的PHP Rat。互锁勒索软件小组正在广泛的广告系列中部署基于PHP的新变体。根据DFIR报告的研究人员的说法,与ProofPoint合作,它使用了一种称为FileFix的交付方法,[…]
来源:Security Affairs _恶意软件互锁勒索软件小组通过FileFix部署新的基于PHP的老鼠
Interlock Ransomware组在针对多个行业的广泛广告系列中通过FileFix(ClickFix变体)部署了新的PHP Rat。
Interlock Ransomware组正在广泛的广告系列中部署基于PHP的新变体。根据DFIR报告中的研究人员的说法,它与ProofPoint合作,使用一种称为ClickFix的FileFix的交付方法来针对多个行业。
互锁勒索软件组 互锁大鼠一个新的基于PHP的变体标志着与较早的基于JavaScript的Node.js版本的转变。自2025年5月以来,它与Kongtuke(Landupdate808)威胁群集有联系。恶意软件通过隐藏的脚本通过折衷的网站传播,这些脚本通过假验证码检查促使受害者运行PowerShell脚本。 PHP和Node.js变体都已看到,PHP版本将于6月出现。该广告系列现在正在使用文件文件交付机制。
基于JavaScript的Node.js版本“广告系列始于被折磨的网站注入了页面HTML中隐藏的单线脚本,通常不知道网站所有者或访问者。
链接的JavaScript采用重型IP过滤来服务有效载荷,该载荷首先提示用户单击验证码以“验证您是人类”,然后进行“验证步骤”以打开运行命令并从剪贴板上粘贴。”读取DFIR报告。
阅读DFIR报告PHP版本通过PowerShell执行,从异常路径启动PHP二进制文件,并使用自定义配置文件。
恶意软件使用各种PowerShell命令进行自动系统分析,从而收集有关系统,流程,服务,驱动器和网络的详细信息。
Sigma和Yara规则 iocs在Twitter上关注我:@securityaffairs和Facebook和Mastodon
@securityaffairs Facebook mastodonPierluigi Paganini