第187期安全事件
2019/06/10-2019/06/16
英文标题 | How Ursnif Evolves to Keep Threatening Italy |
中文标题 | 垃圾邮件活动针对意大利分发 Ursnif 变种 |
作者及单位 | ZLAB-YOROI |
内容概述 |
Yoroi 检测到 Ursnif 变种针对意大利的新攻击活动,Ursnif 通过对国家检查和大量代码混淆,提高了对目标的选择能力 及其反分析能力。攻击者仍使用垃圾邮件附件的恶意 Excel 文档启用感染链,启用宏后将检索包含 Base64 编码脚本的单元格, 然后开启执行一系列多层混淆的 Powershell 脚本阶段。首先对 Windows 版本进行目标选择,分为 Windows 10 和其它。对于 多数 windows 版本,将下载使用 LSB 隐写技术隐藏 powershell 代码的图像,检查意大利语环境,分别执行接下来的四层加 密混淆 Powershell,最终释放 Ursnif 银行木马。Windows 10 版本与其它不同的是,图片隐写命令由 Powershell 直接调用,进 行两次国家检查,依次执行六层的混淆 powershell 阶段,最终释放相同载荷。 |
新闻链接 |
https://blog.yoroi.company/research/how-ursnif-evolves-to-keep-threatening-italy/ |