趨勢科技研究人員發現一隻宏病毒會感染、並綁架受害電腦的特定桌面快捷方式,用以下載後門程序。
趨勢科技研究人員是在一封包含圖片檔的俄文文件發現這隻巨集惡意程式。它先要求使用者執行巨集以開啟整份文件,等用戶照做後,就會尋找知名app的桌面快捷方式檔或快速啟動功能,包括Skype、Google Chrome、Mozilla Firefox、Opera及微軟IE等加以感染並取代指向的連結。
攻擊手法:
當下次用戶點擊這些快捷方式時就會執行惡意程式,悄悄下載後門程序到電腦上。有趣的是,研究人員Loseway Lu發現惡意程式執行後,惡意檔案就會自動移除,使那些遭感染的快捷方式恢復正常,降低使用者警覺性。
同時間,這隻後門程序開始啟動多階段下載過程,先利用Windows工具如WinRAR從Google Drive或GitHub載入惡意檔案、啟動資料竊取,最後利用遠端桌面程序Ammyy Admin及SMTP(Simple Mail Transfer Protocol)協定將從用戶電腦資訊如路由器IP位址傳送出去。
這個"攻擊"行為目前還只是資料竊取而已,樣本數也不多,研究人員相信攻擊者還在發展階段,因而判斷之後還會有新版本推出。
分享到:
閱讀更多 數碼小強 的文章
