已发现网络罪犯滥用流行的 VLC 多媒体播放器向澳大利亚的目标发送 Cobalt Strike 信标。
该活动包括 SEO 中毒和 Gootkit 加载程序恶意软件(在新标签页中打开)并针对在澳大利亚寻找医疗机构的受害者。
该恶意软件是由趋势科技发现的,并描述了威胁行为者如何创建一个恶意网站,该网站看起来像一个论坛,用户在 ZIP 存档中共享与医疗保健相关的协议文档模板,以响应查询。
“中毒”的搜索引擎结果页面
然后,为了让该网站在 Google 上排名靠前,他们通过将指向恶意网站的链接添加到尽可能多的在线文章和社交媒体帖子中来“毒化”搜索引擎结果页面。
每当一个网站被大量链接时,谷歌的算法就会认为它是权威的,并将它推到结果页面的更高位置。在此活动中,研究人员发现恶意网站在与医疗相关的关键字(例如“医院”、“健康”、“医疗”和“协议”)与澳大利亚城市名称配对时排名很高。
上当受骗并将恶意 ZIP 存档下载到他们的端点上的受害者实际上会获得 Gootkit 加载器组件,该组件随后会投放一个 PowerShell 脚本,将更多恶意软件下载到目标设备上。在加载程序抓取的文件中,有一个合法的、签名的 VLC 媒体播放器副本和一个恶意 DLL 文件,该文件在被触发时会部署 Cobalt Strike 信标。
VLC 媒体播放器文件显示为 Microsoft 分布式事务处理协调器 (MSDTC) 服务。如果用户运行它,VLC 将查找 DLL 文件并运行它,以通常称为侧载攻击的方式感染设备。
Cobalt Strike 是一种商业渗透测试工具,允许用户在受害机器上部署名为“Beacon”的代理。网络犯罪分子使用它来扫描目标网络、横向移动、窃取密码和其他敏感数据,并部署更具破坏性的恶意软件。Cobalt Strike 信标通常会受到勒索软件攻击。
领取专属 10元无门槛券
私享最新 技术干货