恶意软件Zyklon利用微软Office漏洞收集密码数据

2018-01-22 15:10 标签: 恶意软件,数据泄露

  外媒1月17日消息,FireEye于近期发现了一种新的攻击手法——利用三个2017年披露的Microsoft Office漏洞进行恶意软件Zyklon的传播活动。据悉,该活动主要针对电信、保险和金融服务等公司,试图收集其密码和加密货币钱包数据,并为未来可能发生的DDoS(分布式拒绝服务)攻击收集目标列表。

  功能强大的Zyklon恶意软件

  Zyklon是一款HTTP僵尸网络恶意软件,自2016年就开始出现,通过Tor匿名网络与其C&C(命令和控制)服务器进行通信,从而允许攻击者远程窃取密钥和敏感数据,比如存储在web浏览器和电子邮件客户端的密码。此外,根据Fire Eye最近发布的报告,Zyklon还是一个公开的全功能后门,能够进行键盘记录、密码采集、下载和执行额外的插件,包括秘密使用受感染的系统进行DDoS攻击和加密货币挖掘。

  而在此次攻击活动中,背后的攻击者利用Microsoft Office的三个漏洞通过鱼叉式网络钓鱼电子邮件传播Zyklon恶意软件,这些邮件通常会附带一个包含恶意Office文档的ZIP文件。一旦用户打开这些恶意文件就会立即运行一个Power Shell脚本,并从C&C服务器下载最终playload。这样一来,用户的计算机设备就会成功受到感染。

恶意软件Zyklon利用微软Office漏洞收集密码数据

  以下为恶意软件利用的三个Microsoft Office漏洞:

  第一个漏洞:CVE-2017-8759是Microsoft去年十月修补的。NET框架漏洞。打开受感染文档的目标将允许攻击者安装恶意程序,处理数据并创建新的特权帐户。受感染的DOC文件包含嵌入的OLE对象,该对象在执行时触发从存储的URL下载的另外的DOC文件。

  第二个漏洞:CVE-2017-11882是在Microsoft公式编辑器的Office可执行文件中发现的远程代码执行错误,微软已于2017年11月为其发布了补丁。该漏洞与以前的漏洞类似,打开特制DOC的用户将自动下载包含最终playload的PowerShell命令的DOC文件。

  第三个漏洞:在于动态数据交换(DDE),但微软不承认该漏洞的存在,而是坚称DDE只是一个产品功能,是建立应用程序如何通过共享内存发送消息和共享数据得协议。然而,在过去的一年中,攻击者利用DDE在恶意活动取得了巨大的成功,比如在无需启用宏或内存损坏情况下在目标设备上执行代码。

  FireEye表示,目前越来越多的攻击者利用恶意软件来执行不同的任务,并且很可能会超出当前攻击目标的范围,因此对于所有行业来说保持高度警惕性变得尤为重要。

  消息来源:threatpost,HackerNews.cc;

  以上为正文内容。

  网堤安全-专业的云安全解决方案综合服务商!

  转载请注明:网堤安全https://www.ddos.com

 

 

 

行业资讯 Industry Information

关于我们

About Us