Attackers abuse ConnectWise ScreenConnect to drop AsyncRAT
hackers利用ConnectWise ScreenConnect通过脚本加载程序删除异步,窃取数据并使用伪造的Skype Updater持续。 LevelBlue研究人员警告一项活动,滥用ConnectWise ScreenConnect部署异步。攻击者使用VBScript/PowerShell装载机,并通过假的Skype Updater实现持久性。 ConnectWise ScreenConnect是远程桌面和远程支持软件,旨在启用[…]
Doctor, where did you get these pictures? Using steganography in a cryptocurrency mining campaign.
2025 年 1 月 24 日在分析遥测数据时,Doctor Web 的病毒分析师发现了恶意软件样本,经过仔细检查,这些样本原来是挖掘 Monero 加密货币的活跃活动的组成部分。此活动之所以引人注目,是因为它以一系列恶意软件链的形式实施,其中两个基于执行从 BMP 图像文件中提取恶意负载的脚本。该活动可能始于 2022 年,当时我们的分析师首次观察到 Services.exe,这是一个启动恶意 VBscript 的 .NET 应用程序。此脚本通过联系攻击者的服务器并执行响应中发送的脚本和文件来实现后门功能。例如,恶意文件 ubr.txt(扩展名从 ps1 更改为 txt 的 PowerShe
