详细内容或原文请订阅后点击阅览
打开错误的“PDF”,攻击者即可远程访问您的 PC
DEAD#VAX 活动通过将虚拟硬盘伪装成 PDF 附件来诱骗用户安装 AsyncRAT。
来源:Malwarebytes Labs 博客名为 DEAD#VAX 活动的网络犯罪分子正在进一步实施网络钓鱼,他们在虚拟硬盘中传播恶意软件,伪装成普通 PDF 文档。打开错误的“发票”或“采购订单”,您根本看不到任何文档。相反,Windows 会安装一个虚拟驱动器,悄悄安装 AsyncRAT,这是一种后门木马,允许攻击者远程监视和控制您的计算机。
它是一种远程访问工具,这意味着攻击者可以获得远程手动键盘控制,而传统的基于文件的防御措施在磁盘上几乎看不到任何可疑内容。
从高层的角度来看,感染链很长,但每一步看起来都足够合法,可以通过随意的检查。
受害者会收到看似常规商业消息的网络钓鱼电子邮件,通常会引用采购订单或发票,有时会冒充真实的公司。该电子邮件不直接附加文档。相反,它链接到 IPFS(星际文件系统)上托管的文件,IPFS 是一种去中心化存储网络,在网络钓鱼活动中越来越多地被滥用,因为内容更难删除,并且可以通过普通网络网关访问。
链接的文件名为 PDF 并具有 PDF 图标,但实际上是虚拟硬盘 (VHD) 文件。当用户双击它时,Windows 会将其安装为新驱动器(例如驱动器 E:),而不是打开文档查看器。安装 VHD 是完全合法的 Windows 行为,这使得此步骤不太可能敲响警钟。
安装的驱动器内似乎是预期的文档,但它实际上是一个 Windows 脚本文件 (WSF)。当用户打开它时,Windows 会执行文件中的代码,而不是显示 PDF。
对于个人用户来说,陷入此网络钓鱼电子邮件可能会导致: