一个活跃的Microsoft Office和WordPad垃圾邮件活动正在使用诸如罗马尼亚语和允许攻击者利用CVE-2017-11882漏洞的文件之类的语言针对欧洲用户。 根据Microsoft Security Intelligence在6月7日发布的一系列推文,此活动可能仅通过打开恶意的RTF附件来感染端点。 Microsoft警告用户不要打开这些垃圾邮件,强烈建议尽快应用安全更新。
图1.微软在Twitter上的垃圾邮件活动警告的屏幕截图
CVE-2017-11882是一个远程执行代码漏洞,允许生成特制的RTF和Word文档。 一旦打开了这些恶意文档,它们将立即在系统内执行命令。 尽管自2017年以来已修复此漏洞,但微软检测到它仍在积极地用于攻击。 它还报告说,在过去的几周中,随着新的垃圾邮件活动,对该漏洞利用的使用有所增加。
图2。恶意垃圾邮件附件的示例(图片来自Microsoft Security Intelligence官方推文)
在当前的垃圾邮件活动中,Microsoft Security Intelligence表示,为了下载后门有效负载,垃圾邮件中附加的恶意RTF运行多种类型的多个脚本,例如VBScript,PowerShell和PHP等。 截至撰写本文时,后门试图连接的恶意域不可访问。 因此,被感染的端点将无法连接到恶意软件的C&C服务器。 但是,攻击者可以用有效的有效载荷来代替有效载荷。
在Bleeping Computer对其中一个示例文档运行的测试中,它观察到打开恶意文档后,该文档立即执行取自Pastebin的脚本。 然后,该脚本执行PowerShell命令,下载base64编码的文件,并将其保存为系统中的可执行文件(%temp%\ bakdraw.exe)。
出于持久性考虑,Bleeping Computer报告说该可执行文件已下载到%UserProfile%\ AppData \ Roaming \ SystemIDE,并且将配置计划任务SystemIDE。 由机器学习提供支持的趋势科技安全解决方案
由机器学习提供支持的趋势科技安全解决方案有助于防御各种电子邮件威胁。
为了防止垃圾邮件和威胁,企业可以利用趋势科技端点解决方案,例如趋势科技™ Smart Protection Suite和无忧软件™商业安全。 两种解决方案都可以通过检测恶意文件和垃圾邮件来保护用户和企业免受威胁,并阻止所有相关的恶意URL。 趋势科技威胁发现技术™解决方案具有用于电子邮件检查的层,可以通过检测恶意附件和URL来保护企业。
Trend Micro Hosted Email Security是一种无需维护的云解决方案,可提供不断更新的保护,以阻止垃圾邮件,恶意软件,鱼叉式网络钓鱼,勒索软件和高级针对性攻击,防止它们进入网络。 它可以保护Microsoft Exchange,Microsoft Office 365,Google Apps以及其他托管和本地电子邮件解决方案。 趋势科技电子邮件信誉服务在到达时检测到此威胁使用的垃圾邮件。
趋势科技趋势科技服务器深度安全防护系统™,漏洞保护和TippingPoint ™解决方案提供了虚拟补丁程序,可保护端点免受滥用未修补漏洞的威胁的侵害。 妥协指标
SHA256
检测名称
ffb19eb696cc1c11b426d2c2b3ec801ba39b74d6b1772cd6fff09fecd596dd75
Trojan.W97M.CVE201711882.THFOFAI
0bddc023f2c6c6befa1d12b1b3eaa86caa6119fd7d234d01f95bc72cc56a5eb9
Trojan.W97M.CVE201711882.THFOFAI
816917f687595167f03365df571b225c36d47ec7566b10e1101575c1b30905b3
Trojan.Win32.TASKER.N
712a857b17778c6439f374ef8c02f03536f20131cbb49d7483c14b854156eada
Trojan.Win32.TASKER.N
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢