一款名为AstraLocker的鲜为人知的勒索软件最近发布了它的第二个主要版本,据威胁分析师称,它可以快速发起攻击并直接从电子邮件附件中删除其有效载荷。这种方法很少见,因为所有典型的电子邮件攻击都试图逃避检测并最大限度地减少电子邮件安全产品发出危险信号的可能性。据一直跟踪AstraLocker的ReversingLabs称,攻击者似乎并不关心侦察、有价值的文件以及潜入内部网络进行横向移动。相反,他们寻求以最大的力量对目标发动攻击以换取快速的回报。勒索软件AstraLocker2.0使用的诱饵是一个MicrosoftWord文档,它隐藏了带有勒索软件负载的OLE对象,其中嵌入的可执行文件的文件名为“WordDocumentDOC.exe”。要执行有效载荷,用户需要在打开文档时出现的警告对话框中单击“运行”。这种方法符合Astra的整体“杀死并抓住”策略,选择OLE对象而不是恶意软件分发中更常见的VBA宏。另一种选择是使用SafeEngineShielderv2.4.0.0来打包可执行文件,这是一个非常古老且过时的打包程序,几乎不可能进行逆向工程。在反分析检查以确保勒索软件没有在虚拟机中运行并且没有在另一个活动进程中加载??调试器之后,恶意软件准备使用Curve25519算法对系统进行加密。这些准备工作包括终止可能危及加密的进程、删除卷映像副本以及停止一系列备份和防病毒服务。根据ReversingLabs的代码分析,AstraLocker基于泄露的Babuk源代码,Babuk是一种有缺陷但仍然危险的勒索软件,幸运的是它已于2021年9月退出该领域。此外,赎金记录中列出的门罗币钱包地址之一与相关到Chaos勒索软件组。这可能意味着同一个威胁参与者正在运行两种类型的恶意软件,这种情况并不少见。但从最新的案例来看,AstraLocker2.0似乎并不是一个老练的威胁行为者的行为,因为他试图妥协尽可能多的目标。参考来源:https://www.bleepingcomputer.com/news/security/astralocker-20-infects-users-directly-from-word-attachments/
