早些时候,我们曾写过关于如何基于Java的博客 捷达 恶意软件是在最近的时间里发展起来的。在Quick Heal 安全 Labs,我们正在积极观察野外发生的jRAT活动。这些JAVA恶意软件通过网络钓鱼活动传播。在分析此类网络钓鱼活动时,我们发现 国际驻印度大使馆 被网络钓鱼者作为攻击目标。网上诱骗活动中使用的恶意软件是臭名昭著的JAVA恶意软件jRAT。网络钓鱼者将钓鱼邮件发送到目标大使馆的官方电子邮件地址。
这是网络钓鱼电子邮件的外观。
如上图所示,DHL的假货通知将发送到目标电子邮件地址。这是典型的网络钓鱼电子邮件诈骗示例。电子邮件的整体内容看起来很整洁和吸引人,足以诱骗用户打开附件以了解有关此装运通知的更多信息。电子邮件附件“原始运输 DOCUMENT.zip”是一个ZIP存档文件,其中包含“原始运输文件.jar”文件。发出货运通知是不寻常的“。罐”文件作为附件。用户双击此jar文件后,将执行恶意软件。如今,许多应用程序需要执行JAVA / JRE。因此,在最终用户系统上安装JAVA / JRE的机会非常高。这增加了在目标系统上执行基于Java的恶意软件的所有可能性。
序列检测
序列产品通过其JAVA检测成功阻止了针对目标大使馆的这种特定网络钓鱼尝试“JAR.Suspicious.A”.
感染链
在此JRAT网络钓鱼活动中发现的典型感染链如下。
技术细节
如图2所示,‘Parent JAR’恶意软件,它将在以下位置丢弃2个VB脚本文件和jRAT恶意软件‘%Temp%’嵌入其中的位置。这些VB脚本负责识别系统上安装的不同防病毒产品以及防火墙产品。它还会检查‘Win32_PnpSignedDriver’识别虚拟环境所需的管道。如果发现此管道已打开,则该恶意软件将停止其活动。
下面是VBS文件的图像。
删除的JRAT文件 是 连接到 a CNC领域‘vvrhhhnaijyj6s2m.onion [。]顶部‘. 该CNC域托管在46.246.120.179上。 的声誉 这个 域和 该IP是恶意的 在线扫描仪。交流发生在 一个 SSL通道。
在我们进行分析时,CNC服务器未响应最终有效载荷。通常,我们已经观察到正在进行的jRAT活动中传播了信息存储恶意软件。
尽管网络钓鱼是传播恶意软件的古老技术,但它仍然是网络钓鱼者使用的最简单,最有效的技术之一。使用这种简单的恶意软件分发技术,网络钓鱼者正在追逐诸如内部大使馆这样的引人注目的目标。我们建议用户通过保持用户的安全来保护自己 端点安全解决方案(EPS) 最新的安全更新。
安全米放心
这是一个 信息图 解释了网络钓鱼。以下是一些远离网络钓鱼攻击的有用提示。
- 不要打开来自未知,不需要或意外来源的电子邮件。
- 请勿单击此类电子邮件中的链接或下载附件。
- 请勿打开扩展名为.js,.jar,.exe。和.pdf等电子邮件附件。
- 在Microsoft Office应用程序中禁用VBA宏。
- 在您的操作系统,Adobe,Java,Internet浏览器等程序上应用所有建议的更新。
- 确保您的 端点安全解决方案(EPS) 软件是最新的。
- 定期备份文件。
指示符的c承诺
DHL出货通知:85482550044
原始运输文件.zip
原始运输文件.jar
F2727B26A75F9DF01E464B9144117AE1
B01F4758F4FD791B851D64FC16B56D08
vvrhhhnaijyj6s2m.onion [。]顶部
46.246.120.179
主题专家
普拉迪普·库尔卡尼(Pradeep Kulkarni),普拉尚卡丹|快速修复安全实验室
没意见