首页 >> 网络安全 >>病毒分析 >> Phorphiex / Trik Botnet提供Avaddon勒索软件
详细内容

Phorphiex / Trik Botnet提供Avaddon勒索软件

时间:2020-08-12     【原创】   阅读

Zix / AppRiver威胁团队对Phorphiex / Trik僵尸网络及其广泛的攻击并不陌生。在6月4日(星期四),我们开始捕获由同一僵尸网络分发的活动,该活动反映了我们在去年4月防御和分析的僵尸网络所使用的技术,战术和程序。但是,此活动提供了新的Avaddon勒索软件,该软件转换为Abaddon,意味着厄运或破坏。


这些消息的主题非常简单。所有这些都包含各种主题行,试图诱使收件人打开“照片”以及电子邮件正文中的眨眼表情符号。该活动的显示名称似乎全是男性发件人姓名,与去年在该活动中观察到的女性姓名不同。与去年相似,攻击者再次使用四个数字作为该活动的域友好对象。在撰写本文时,我们的高级电子邮件威胁防护过滤器已捕获了超过300,000条此类消息。

1.png

邮编附件-恶意Javascript

所有消息都包含以IMG <number> .jpg.js.zip格式到达的附件。解压缩zip文件后,其中就有一个1 KB的小javascript文件。这比去年的8 KB运动要小得多,主要是因为最新版本不包含任何其他混淆技术。

2.png

该文件将启动Windows脚本宿主,以运行带有执行策略旁路标志的命令来启动PowerShell。这将指示Windows运行未签名的脚本而不被阻止或显示任何警告。然后,在执行之前,将从217 [。] 8 [。] 117 [。] 63的IP下载名为sava.exe的文件到本地temp文件夹中并保存为5203508738.exe。在我们的测试环境中,整个有效负载链在不到一分钟的时间内完成了,我们的文件使用.avdn扩展名加密。

3.png

赎金说明和网站

自述文件留在桌面上,带有最初的赎金消息,将我们定向到暗网洋葱地址,以获取进一步的解密信息。

4.png

受害者浏览到Darknet站点后,他们需要输入在自述文件中找到的唯一加密ID。输入后,计时器将开始倒计时并显示货币需求。在我们的测试环境中,我们获得了7天12个小时的时间,以便在赎金翻倍之前通过比特币支付600美元的需求。但是,我们也看到了一份500美元的需求报告,需求可能会有所不同。

5.png

该网站还提供了有关通过聊天界面获取比特币的多种方法的说明,以及24/7支持帮助。还包括QR码和用于付款的唯一比特币钱包地址。 


威胁参与者提供了使用3个图像文件测试解密以建立信任的功能,并进一步指定图像通常不如其他加密数据那么有价值。该站点提供9种不同的语言选项,可深入了解攻击所针对的国籍和受害者。

6.png

会员招聘和软件功能广告

僵尸网络开始发送这些恶意消息的时间不少于24小时,研究人员开始发现带有受欢迎的Darknet Russian黑客论坛上的勒索软件的会员招聘广告。我们联系了研究人员David Montenegro(Twitter上的@CryptoInsane),他发现了威胁行为者的广告图像,并慷慨地授予我们共享此博客的权限。

7.png

.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

猜你喜欢
更多
联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录