谨防电子邮件钓鱼的各种套路 | Sunbet
登录
  • 欢迎进入Sunbet!
  • 如果您觉得Sunbet对你有帮助,那么赶紧使用Ctrl+D 收藏Sunbet并分享出去吧
  • 您好,这里是Sunbet!

谨防电子邮件钓鱼的各种套路

谨防电子邮件钓鱼的各种套路

一种新的基于Node.js的远程访问木马恶意软件正在通过伪装成美国财政部的电子邮件进行传播。

安全机构Abuse.ch发现了这个新的垃圾邮件活动,该活动声称由于银行信息不正确,政府应付的款项未支付成功。

然后,电子邮件会提示用户检查文档是否有误,如果没有回复,这笔钱将被政府用于冠状病毒疫情救灾。

谨防电子邮件钓鱼的各种套路

伪造的电子邮件

没有迹象表明上述批准的资金最终受益人的身份是您,或者您是否已经修改了收款银行账户信息?如果在5月30日之前仍未领取,美国财政部希望这些资金将作为紧急救济基金分发,以支持COVID-19全球危机造成的困难。预计您的资金将在6月初被分配。

该电子邮件的附件是名为“ CONTRACT PAYMENT.zip”的文档,其中包含名为“ CONTRACT PAYMENT.jar”的文件。

谨防电子邮件钓鱼的各种套路

附件文件

恶意软件是一种新的名为QNodeService的Node.js恶意软件,该恶意软件由MalwareHunterTeam发现,随后由TrendMicro分析。

执行后,此JAR文件将下载Node.js和一个名为Wizard.js的脚本,并将程序包存储在名为%UserProfile \ qnodejs-node-v13.13.0-win-x64的文件夹中,如下所示。

谨防电子邮件钓鱼的各种套路

Qnodejs-node-v13.13.0-win-x64文件夹

为了使受害者每次登录Windows时都运行恶意软件,因此将创建一个Windows注册表运行值。

谨防电子邮件钓鱼的各种套路

为持久性配置的运行键

根据TrendMicro的报告,一旦安装了QNodeService,它将完全控制计算机,并进一步危害计算机以窃取数据。

通过QNodeService恶意软件中内置的以下功能,可以做出进一步的侵害:

· 自我更新;

· 获取计算机信息,如IP地址、计算机名、位置、用户名和操作系统版本;

· 执行命令,下载更多的有效载荷;

· 删除和写入文件;

· 从各种应用程序(例如Chrome和Firefox)中窃取密码。

如果您已成为该恶意软件的受害者,则应立即假设您的数据和密码已遭到泄露。

恶意软件也可能被用来访问网络上的其他设备。

因此,您应该立即更改在浏览器或其他应用程序中保存的所有密码。然后,对网络、系统以及其余部分进行检查,以确认没有其他设备受到威胁。

本文翻译自:https://www.bleepingcomputer.com/news/security/fake-us-dept-of-treasury-emails-spreads-new-nodejs-malware/

Red Team后漏洞利用秘籍:如何使用C#语言实现系统调用

0x00 前言                             在过去的一年中,安全社区(特别是红方运营团队和蓝方防御团队)持续关注Windows恶意软件如何实现后漏洞利用活动,以及如何绕过终端检测与响应(EDR)设备。 现在,对于某些防御人员来说,这种技术的使用还是比较陌生的,但对于攻击者来说却并非如此。许多年来,很多恶意软件作者、开发人员甚至是游戏破解者都在尝试利用系统调用和内存加载。其最初目标是绕过某些通过反病毒和反作弊引擎之类的工具来实现的限制和安全措施。 在一些文章中,已经介绍过如何利用这些系统调用技术,例如:如何绕过EDR的内存保护、关于挂钩的介绍、结合直接系统调用和sRDI绕过AV或EDR等等。作为红队成员,这些技术的使用对于秘密行动来说至关重要,因为它们使我们能够在网络范围内进行


Sunbet|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明谨防电子邮件钓鱼的各种套路
喜欢 (0)
[]
分享 (0)