恶意软件活动是使用假PDF将DOCX转换器用作将恶意PowerShell命令潜在机器上的向量,从而使攻击者能够访问Crypto钱包,Hijack浏览器凭据并窃取信息。
跟随联邦调查局 警报 上个月, Cloudsek 安全研究团队进行了一项调查,揭示了有关攻击的细节。
目的是欺骗用户执行PowerShell命令,该命令安装了Arechclient2恶意软件(Sectoprat的一种变体),这是一个窃取了从受害者那里收集敏感数据的家庭的信息。
恶意网站模仿了合法文件转换器pdfcandy的网站,但是下载了恶意软件,而不是加载真实的软件。该站点具有加载条甚至验证验证验证,以使用户陷入错误的安全感。
最终,经过几次重定向,受害机器下载了一个包含有效载荷的“ adobe.zip”文件 – 将设备曝光到自2019年以来一直处于活动状态的远程访问Trojan。
这使用户开放了数据盗窃,包括浏览器凭据和加密货币钱包信息。
该恶意软件“检查扩展商店,将种子短语抬起,甚至taps top to web3 API,以便在批准后进行幽灵资产,” Blockchain Security Security Hacken的DAPP审计技术负责人Stephen Ajayi告诉Hacken。 解密 .
Cloudsek建议人们使用防病毒和Antimalware软件,并“验证不仅仅是扩展的文件类型,因为恶意文件通常会伪装成合法的文档类型。”
这家网络安全公司还建议用户依靠“来自官方网站的受信任的,信誉良好的文件转换工具,而不是搜索“免费在线文件转换器”,并考虑使用“不需要将文件上传到远程服务器上传的离线转换工具”。
Hacken Ajayi建议加密用户记住:“信任是一种频谱,它赢得的,没有给予。在网络安全方面,假设默认情况下没有任何安全。”他补充说,他们应该:“应用零信任的心态,并使您的安全堆栈保持最新,尤其是EDR和AV工具,这些工具可以标记Rogue msbuild.exe Activity等行为异常。”
阿贾伊(Ajayi)指出:“攻击者不断发展,防守者也应该不断发展,并补充说,“定期培训,情境意识和强大的检测覆盖范围是必不可少的。保持怀疑,为最坏的情况做好准备,并始终有一本经过测试过的响应剧本,准备出发。”
微信里点“发现”,扫一下二维码便可将本篇文章分享至朋友圈
发布者:币下载 转转请注明出处:https://www.binancememe.com/329909.html
