UNC4536 恶意软件服务操作及其攻击手法
关键要点
UNC4536 通过恶意广告针对流行软件分发特洛伊木马的 MSIX 安装包。使用模仿合法网站的域名进行 MSIX 安装包的托管,以执行脚本。FakeBat 恶意载体会提取受影响系统的重要信息。受影响的木马包括 SectopRAT、Carbanak、RedLine Stealer、IcedID 和 Lumma Stealer。恶意软件服务操作 UNC4536 利用恶意广告攻击广泛使用的软件,向用户分发带有 FakeBat 恶意载体也被称为 PaykLoader、EugenLoader 和 NUMOZYLOD,黑客新闻 报道。
Mandiant 管理防御团队的分析显示,UNC4536 利用模仿合法网站的域名来托管这些 MSIX 安装包。它们伪造了 Zoom、KeePass、Steam 及其他流行软件,并在应用程序部署前执行脚本。受影响的系统将被 FakeBat 提取操作系统、域名、杀毒软件信息,以及公用 IPv4 和 IPv6 地址。随后,FakeBat 会继续传播有效载荷,包括 SectopRAT、Carbanak、RedLine Stealer、IcedID 和 Lumma Stealer,Mandiant 研究人员报告了这些发现。这些发现是对之前 Mandiant 研究的补充,该研究详细介绍了由 UNC4990 进行的数据盗窃和加密劫持攻击,这一攻击主要针对意大利组织,涉及 EMPTYSPACE 恶意载体也称为 Vetta Loader 和 BrokerLoader。
受影响软件概要
软件名称伪造域名例子提及恶意载体ZoomfakezoomcomFakeBatKeePassfakekeepasscomFakeBatSteamfakesteamcomFakeBat这种新的攻击手法显示了网络犯罪分子如何利用针对用户的信任和广泛使用的软件来实施恶意攻击,提醒广大用户在下载软件时保持警惕。
推特加速器
