Windows系统被多级恶意软件攻击

据Fortinet的安全研究人员称，最近发现了一种多级恶意软件攻击，其主要目标是Windows系统。

该活动于8月被发现，采用了一系列能够以多种方式危及组织的恶意策略。

据Fortinet安全专家卡拉·林周一发表的一篇技术博客文章称，攻击始于一封网络钓鱼邮件，将恶意Word文档作为附件发送。此文档包含欺骗性图像和伪造的reCAPTCHA，以引诱收件人点击。一旦被激活，该文档就会触发一个嵌入的恶意链接，为攻击的进展奠定基础。

初始加载程序从特定URL下载，部署二进制填充规避策略，将文件大小增加到400 MB。然后释放一系列有效负载，包括用于键盘记录和密码恢复的OriginBotnet，用于加密货币盗窃的RedLine Clipper和用于收集敏感信息的AgentTesla。

卡拉·林解释说，每个攻击阶段都是精心策划的，以保持持久性并逃避检测。该恶意软件采用加密和解密技术，利用Base64编码，AES-CBC和AES-ECB算法来隐藏其活动。

RedLine Clipper是恶意组件之一，专门通过改变用户的系统剪贴板活动来窃取加密货币，将加密货币钱包地址替换为属于攻击者的地址。这种策略的目标是在交易过程中复制和粘贴钱包地址的用户，从而意外地将资金转移给攻击者。

AgentTesla是另一种恶意软件的变种，它被设计成记录击键、访问剪贴板和扫描磁盘以获取有价值的数据，同时与命令和控制(C2)服务器进行通信。它建立持久性，并可以通过各种通信渠道泄露数据。

第三个组件OriginBotnet收集敏感数据并与C2服务器通信，下载用于键盘记录和密码恢复的附加文件。它使用加密技术来混淆其流量。

林警告说：“这次攻击展示了复杂的技术，可以逃避检测，并在受损系统上保持持久性。”

组织应保持警惕，加强网络安全防御，并教育员工了解网络钓鱼电子邮件的危险，以有效降低风险。