概述 Paloalto研究人员最近发现一个通过网络钓鱼活动传播的恶意Microsoft Word文档,该文档伪装成受密码保护的NortonLifelock文档,来诱使用户启用宏,以分发称为NetSupport Manager的商用远程访问工具(RAT),此RAT通常用于合法目的,允许管理员远程访问客户端计算机。但是,恶意运营商正在将RAT安装到受害者的系统中,以获得未经授权的访问。托管RAT的域似乎是一个合法域,已经被攻击者破坏并使用。恶意文件中PowerShell脚本似乎是使用来自PowerSploit框架的开源脚本Out-EncryptedScript.ps1生成的。其包含一个通过base64进行混淆的数据块,并使用密码块链(CBC)的加密模式对其进行TripleDES加密。其会检测目标上是否正在运行Avast或AVG Antivirus软件,如果是则停止安装,不是则安装组成NetSupport Manager RAT的12个文件到%appdata%中的随机目录。 利用手段 钓鱼攻击,木马后门 IOC列表 请登录后查看 应对措施 (1)对相关指示器进行阻断;(2)不要打开来历不明的电子邮件或下载可疑的附件;(3)不要启用宏,除非文档来自可信来源; |