研究人员发现了针对Linux,Windows和macOS系统的新Adwind广告系列。
Adwind是一种远程访问特洛伊木马(RAT),最近发现的广告系列中使用的示例是Adwind 3.0 RAT,并利用Microsoft Excel上的动态数据交换(DDE)代码注入攻击。
该活动于8月底被发现,攻击者主要针对土耳其的用户(75%),专家注意到其他受害者位于德国,但可能是土耳其社区的成员。
专家发现的垃圾邮件活动利用土耳其语编写的恶意文档。
ReversingLabs于9月10日首次发现这一新的广告系列似乎是过去在野外出现的Microsoft Excel上的动态数据交换(DDE)代码注入攻击的变种。这次,该变体能够避免恶意软件拦截软件的检测。ReversingLabs在这里写了关于这个问题的博客 。读取思科Talos发布的分析。
专家观察到此广告系列中至少有两个不同的droppers使用默认由Microsoft Excel打开的.csv或.xlt文件。
它们都会利用DDE代码注入攻击的新变种,尽管这种技术众所周知,但此广告系列中使用的变体仍然未被发现。
dropper文件可以有30多个不同的文件扩展名,默认情况下其中一些文件扩展名不会被Excel打开,但是,攻击者可以使用脚本启动Excel,并将带有这些扩展名之一的文件作为参数。
像CSV这样的格式没有预定义的标题,因此它可以在开头包含任何类型的数据。如同样本中的随机数据,我们发现了我的反病毒技巧,跳过文件扫描。其他格式可能被视为已损坏,因为它们可能不符合预期格式。报告继续。
Excel将向用户显示有关代码执行的不同警告,第一个与执行损坏的文件有关,第二个通知用户文档将执行应用程序CMD.exe”。
如果用户接受所有警告,则在系统上执行应用程序。
Talos指出攻击者的目标是注入能够创建和执行Visual Basic脚本的代码,该脚本使用 bitasdmin Microsoft工具下载或上传作业并监视其进度,以Java存档的形式获得最终的有效负载。
Java代码包含 Allatori Obfuscator 商业包装器4.7 版的演示版。
最终的有效载荷是Adwind RAT v3.0的样本。
这个活动所使用的滴管的DDE变种是一个很好的例子,在如何基于签名的防病毒可以被欺骗。它也是关于文件扩展名扫描配置的警告信号。