“Water Makara”使用Astaroth恶意软件对巴西组织进行有针对性的攻击

阅读量58644

发布时间 : 2024-10-16 11:29:22

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/water-makara-employs-astaroth-malware-in-targeted-attacks-on-brazilian-organizations/

译文仅供参考,具体内容表达以及含义原文为准。

Water Makara - Astaroth Malware

趋势科技研究公司的一份最新报告指出,巴西出现了一种鱼叉式网络钓鱼活动,该活动结合使用了混淆 JavaScript 和 Astaroth 恶意软件,以各行各业的公司为目标。该活动背后的威胁行动者被追踪为 “Water Makara”,他们采用了复杂的技术来逃避检测,对该地区的制造企业、零售企业和政府机构构成了严重威胁。

该活动以伪装成官方税务通知或合规文件的网络钓鱼电子邮件开始,这种策略旨在引诱毫无戒心的用户。报告称,“这些电子邮件的附件通常伪装成个人所得税文件”,而这些附件中包含有害的 ZIP 文件。钓鱼邮件的主题行是 “Aviso de Irregularidade”(违规通知),诱骗收件人打开包含恶意 LNK 文件的 ZIP 文件。这些 LNK 文件被执行后,会通过 mshta.exe 工具运行嵌入的 JavaScript 命令,而 mshta.exe 工具是一个通常用于执行 HTML 应用程序的合法程序。

最终有效载荷为 Astaroth 恶意软件的鱼叉式网络钓鱼电子邮件示例 | 图片: 趋势科技研究

趋势科技研究人员解释说:“除了 LNK 文件外,ZIP 文件还包含另一个文件,其中有类似的混淆 JavaScript 命令,”这些命令在执行过程中会被解码,并连接到命令与控制(C&C)服务器以获取进一步的指令。

该活动的核心是 Astaroth,这是一种臭名昭著的银行木马,可窃取包括凭证和财务数据在内的敏感信息。一旦恶意软件站稳脚跟,它就会造成长期破坏,不仅包括数据盗窃,还包括监管罚款、业务中断和失去消费者信任。“报告警告说:”虽然 Astaroth 看起来像是一个古老的银行木马,但它的再次出现和持续演化使其成为一个持久的威胁。

Water Makara 采用了先进的混淆技术,使检测变得困难。研究人员发现,编码后的 JavaScript 命令会指向恶意 URL,如 patrimoniosoberano[.]world。这些 URL 采用了域名生成算法 (DGA),这是网络犯罪分子用来创建大量域名从而逃避检测的一种策略。

巴西的制造业、零售业和政府部门是这一活动的主要目标。报告指出:“鱼叉式网络钓鱼活动主要针对巴西的公司,”“其中受影响最大的是制造公司、零售公司和政府机构”。

“报告总结道:”Water Makara 的鱼叉式网络钓鱼活动依赖于不知情的用户点击恶意文件,这凸显了人类意识的关键作用。

随着巴西继续面临来自复杂网络行为者的日益严重的威胁,防御这些极具针对性的鱼叉式网络钓鱼活动需要采取多层次的方法,将技术防御与强大的用户教育相结合。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66