ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全新闻 → Proofpoint网络安全公司发现新型远程访问木马FlawedAmmyy

Proofpoint网络安全公司发现新型远程访问木马FlawedAmmyy

时间:2018-03-11 00:00:00人气:作者:本站作者我要评论

Proofpoint网络安全公司发现新型远程访问木马FlawedAmmyy

网络安全公司Proofpoint发现了一款之前未被报道过的远程访问木马(RAT),并将其命名为“FlawedAmmyy”,允许攻击者获取到对受感染计算机的完全访问权限。

自2016年1月以来,FlawedAmmyy一直在通过网络钓鱼活动中分发的电子邮件传播。这些网络钓鱼活动通常采用大规模批量发送的形式来分发电子邮件,以同时针对数量众多的不同目标,但并不排除会有高针对性的攻击活动出现。例如,在今年1月16日就出现了一起针对汽车行业的高针对性网络钓鱼活动。

FlawedAmmyy最近出现在了今年3月5日和6日的大规模网络钓鱼活动中。活动中分发的电子邮件采用了一个zip压缩文件作为附件,它以英文单词“Bill(账单)”或者 “Invoice(发票)”与一组随机数字组合命名。显然,发件人是想要以虚假的账单和发票作为诱饵,诱使收件人下载并打开附件。

基于电子邮件的内容以及传播方式,FlawedAmmyy背后的运营团队被认为是TA505,这是一个自2014年以来就一直保持活跃的黑客组织。在过去的几年里,该组织已经通过利用银行木马Dridex以及勒索软件Locky和 Jaff作为攻击工具成功发起了多起大型的网络攻击活动。

zip压缩文件中包含了一个url文件,通过解析,我们可以看到,在其文件内容中包含了一个用于下载恶意JavaScript脚本的链接。url文件在Windows系统中被解释为“Internet快捷方式”文件,至于示例你可以在Windows操作系统的“收藏夹”文件夹中找到。通常来讲,在双击这个文件之后,网页浏览器将启动,并自动对应的网页。

然而,当收件人双击这个url文件后会显示一个警示窗口,如果选择“打开(Open)”,系统将通过调用SMB协议下载并执行JavaScript脚本文件,而不是启动网页浏览器。

这个JavaScript脚本会反过来下载一个加载器,然后由这个加载器下载并在受感染计算机上安装FlawedAmmyy。

根据Proofpoint公司的说法,FlawedAmmyy建立在遭泄露的远程桌面软件Ammyy Admin(一款合法的应用程序)第3版的源代码基础上。这使得它包含了Ammyy Admin的部分功能,如远程桌面控制、文件系统管理、代理支持和音频聊天。

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网