JhoneRAT用云服务攻击中东国家
现场一个新的木马正在通过检查键盘布局有选择地攻击中东地区的目标,并试图通过滥用云服务来避免被列入黑名单。
周四,思科Talos的一名网络安全研究员表示,一个名为JhoneRAT的远程访问木马正在通过微软Office文件积极传播,其中包含恶意宏。
通过网络钓鱼活动识别的第一个文件名是“august.docx”,要求收件人用英语和阿拉伯语编辑。第二个名为“fb.docx”,声称包含Face book信息泄露的数据,第三个声称来自合法的阿联酋组织。
在每种情况下,如果启用编辑,将加载并执行包含恶意宏的其他Office文档。
研究团队表示,这些文件是通过谷歌驱动托管的,“以避免将网址列入黑名单”。
JhoneRAT是用Python编写的,并通过Google Drive删除,Google Drive携带带有base64编码二进制附件的图像。一旦将这些镜像加载到易感机器上,就会部署木马,木马会立即开始从受害者的机器上获取信息,包括类型、磁盘序列号、正在使用的操作系统等。
当与其命令和控制服务器(C2)通信以提取信息时,每10秒钟通过公共推特订阅源检查一次命令。Handle @jhone87438316最初被使用,但现在帐户被暂停。
研究人员表示:“这些命令可以根据每个目标上生成的uid(通过使用磁盘序列号和上下文信息,如主机名、防病毒和操作系统)发布给特定受害者,也可以发布给所有受害者。”
CNET:当黑客攻击地方选举时,联邦调查局将开始通知各州。
然而,实际的数据盗窃是通过云提供商ImgBB和GoogleDrive和Forms进行的。截图上传到ImgBB,从驱动器下载二进制文件,执行命令,输出发送到表单。
恶意软件的一个有趣的方面是如何选择目标。过滤是基于受害者的键盘布局,恶意软件将只对阿拉伯语国家的用户执行。
思科塔拉斯表示,Jhonerat的目标是沙特阿拉伯、伊拉克、埃及、利比亚、阿尔及利亚、摩洛哥、突尼斯、阿曼、也门、叙利亚、阿拉伯联合酋长国、科威特、巴林和黎巴嫩。
研究人员表示:“这项运动始于2019年11月,目前仍在进行中。”此时,API密钥被撤销,推特账户被暂停。但是,攻击者可以轻松创建新帐户并更新恶意文件以使其仍然工作。"
科技共和国:这些主题是被点击最多的钓鱼网站。
另一个不寻常的特洛伊木马,目前是FakeToken,正在接受威胁研究人员的检查。当受害者试图登录在线账户时,法克托肯开始了它的旅程。作为传统桌面木马使用的一种外挂恶意软件,Fake Token被用来拦截发送到移动设备的验证码,从此演变成一种独立的金融威胁。
最近,一场FakeToken活动展示了一个奇怪的行为——劫持移动设备的消息设施,发送攻击性短信。
网络安全研究人员不知道为什么,只知道很多收件人在国外。因此,短信可能通过向这些号码发送昂贵的信息来赚取收入。
标签: