网络安全公司TrendMicro发现了一个名为Confucius的网络犯罪组织最近的恶意活动。黑客利用臭名昭著的IsraeliPegasus(Pegasus恶意软件)诱饵发起网络钓鱼活动,以诱骗用户单击下载数据窃取代码的恶意文件。攻击始于一封干净的电子邮件,其中包含从合法的巴基斯坦报纸文章中复制的文本。两天后,受害者收到了一封新电子邮件,其中包含关于PegASUS间谍软件冒充巴基斯坦军官的警告,包括指向加密Word文档的cutt.ly链接和解密密码。无论受害者的行为如何,单击这些链接中的任何一个都将下载一个Word文档。如果目标输入电子邮件中的密码,计算机屏幕上就会出现一个带有宏的文档。如果在该特定机器上启用了宏,下一步就是简单地加载恶意代码。在临时目录中创建一个名为skfk.txt的.NETDLL文件,其中包含文档注释部分的材料。PowerShell用于将此文件加载到内存中并使用它来窃取数据。简而言之,当列出的扩展名的MD5哈希匹配时,文件将通过C&C服务器检索。未列出的文件保存到同一个C&C服务器的不同文件夹,使用用户名字符串对应的机器名。“”网络犯罪团伙过去曾使用多种文件窃取工具对巴基斯坦军方进行网络间谍攻击。开发人员在创建恶意文件时使用创新技术,其中一些包括使用加密文件来防止自动分析,或在评论部分隐藏有害代码。
