收件人收到一封包含恶意网络链接的垃圾邮件,问此链接会触发文件的下载。在该 HTML 文件中,嵌入了一个 ISO 文件,并且该 ISO 文件包含一个 WSF (Windows 脚本文件)。WSF 文件随后与各种 URL 建立连接,并继续执行 PowerShell、VBS (VBScript) 和 BAT 等格式的多个文件。这些执行的文件对合法的 Microsoft .NET 实用程序 RegSvcs.exe 进行注入,这种操纵允许攻击者在受信任的系统应用程序中秘密隐藏其活动。
此外,该样本还积极参与窃取凭证和浏览器相关数据。此外,它还尝试搜索与加密货币相关的信息,包括与比特币、以太坊和类似资产相关的数据。非法获取的数据通过 TCP 传输到端口 8808 上的 IP 地址 45[.]12.253.107。
总结
感染链始于垃圾邮件中嵌入的恶意 URL,导致下载包含 ISO 的 HTML 文件。在 ISO 文件中,WSF脚本连接到外部 URL 并下载 PowerShell 脚本,该脚本进而启动一系列非 PE 文件执行,并最终将十六进制编码的 PE 文件注入合法的 "RegSvcs.exe" 中。这个受损的进程连接到 AsyncRAT 服务器。该恶意软件具有键盘记录功能,记录用户活动,并窃取凭据、浏览器数据和加密相关信息。这个复杂的链条利用不同的文件类型和混淆方法来避免检测,最终导致攻击者获得远程控制并成功窃取数据。
IOC
Hash:
HTML -83c96c9853245a32042e45995ffa41393eeb9891e80ebcfb09de8fae8b5055a3
ISO -97f91122e541b38492ca2a7c781bb9f6b0a2e98e5b048ec291d98c273a6c3d62