详细内容或原文请订阅后点击阅览
抽烟 - emmenhtal蔓延烟熏恶意软件
无
来源:G DATA _恶意软件执行下载的 .lnk 文件后,攻击链利用 Target 字段通过 PowerShell 执行 Mshta。 Mshta(Microsoft HTML 应用程序)是一个内置的 Windows 工具,用于执行 HTML 应用程序和脚本(.HTA 文件)。在这种情况下,恶意软件使用合法的 Mshta 文件从远程文件服务器下载并执行另一个带有恶意 HTA 脚本的二进制样本。这是一种常见的 LOLBAS(Living Off the Land Binaries and Scripts)技术,使用目标计算机中存在的合法应用程序(例如实用工具),从而减少甚至不占用空间,从而实现无文件执行和最小可见性。
目标值得注意的是,该攻击使用 DCCW.exe 的修改版本,DCCW.exe 是一个内置的 Windows 实用程序,代表“显示颜色校准向导”。攻击者修改了 DCCW.exe 以充当恶意脚本的加载程序,使攻击看起来更合法。