直指word附件,勒索软件AstraLocker 2.0来袭!

安全
勒索软件AstraLocker 2.0使用的诱饵是一个Microsoft Word文档,该文档隐藏了一个带有勒索软件有效载荷的OLE对象,其中嵌入式可执行文件的文件名为“WordDocumentDOC.exe”。

近期,一种鲜为人知的名为AstraLocker的勒索软件发布了它的第二个主要版本,据威胁分析师称,它能快速发动攻击,并直接从电子邮件附件中删除其有效负载。这种方法是很少见的,因为所有典型的电子邮件攻击都会尽量逃避检测,并尽量减少电子邮件安全产品发出危险信号的几率。

根据一直跟踪AstraLocker的ReversingLabs的说法,攻击者似乎并不关心侦察、有价值文件、以及潜入内网横向移动等。相反,他们追求以最大的力量发起对目标的攻击,来换取快速回报。

勒索软件AstraLocker 2.0使用的诱饵是一个Microsoft Word文档,该文档隐藏了一个带有勒索软件有效载荷的OLE对象,其中嵌入式可执行文件的文件名为“WordDocumentDOC.exe”。要执行有效负载,用户需要在打开文档时出现的警告对话框上单击“Run”。这种处理方法符合Astra的整体“击杀-抓取”策略,选择OLE对象而不是恶意软件发行版中更常见的VBA宏。

另一个选择是使用 SafeEngine Shielder v2.4.0.0 来打包可执行文件,这是一个非常陈旧过时的打包程序,几乎不可能进行逆向工程。在反分析检查以确保勒索软件没有在虚拟机中运行,并且没有在其他活动进程中加载调试器之后,恶意软件会使用Curve25519算法为加密系统做好准备。这些准备工作包括终止可能危及加密的进程,删除卷映像副本,以及停止一系列备份和反病毒服务。

根据 ReversingLabs 的代码分析,AstraLocker 是基于泄露的Babuk源代码,这是一种有缺陷但仍然很危险的勒索软件,好在它已于2021 年9月退出该领域。此外,勒索信中列出的Monero钱包地址之一与Chaos勒索软件的组织有关。这可能意味着相同的威胁行为者在操作这两种恶意软件,这种情况并不少见。但从最新的案例来看,AstraLocker 2.0似乎不是一个老练的威胁行为者的行为,因为他会尽可能地破坏更多目标。

参考来源:https://www.bleepingcomputer.com/news/security/astralocker-20-infects-users-directly-from-word-attachments/

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2015-11-09 16:21:13

2014-03-19 19:32:28

同洲飞看2

2011-06-15 09:38:56

HTML 5

2020-05-27 14:36:50

漏洞提权攻击恶意软件

2013-05-03 17:16:17

2014-12-19 15:42:33

DragonBones

2023-02-28 11:07:22

2022-07-21 14:13:37

勒索软件暗网

2022-05-20 15:59:03

勒索软件网络安全

2017-02-27 16:57:58

2021-09-07 11:51:25

勒索软件恶意软件安全

2012-09-21 09:13:37

AtomCenterton微型服务器

2015-09-21 13:20:57

拳皇98

2012-11-09 13:24:00

笔记本

2021-08-19 16:03:20

勒索软件攻击数据泄露

2017-06-08 09:36:42

京东服务器

2014-11-16 21:59:54

NETGEAR无线路由

2015-11-10 21:31:28

天猫双11阿里巴巴

2019-04-10 15:16:17

USB 3.2USB 4接口

2016-10-11 13:45:48

点赞
收藏

51CTO技术栈公众号