微软警告一只名为RevengeRAT的窃密木马程序,正通过钓鱼信件在网络传播。
RevengeRAT 2015年首次现身,2019年曾经活跃一阵子,当时锁定饭店PoS(Point of Sales)系统及知名订房网站植入木马程序,窃取消费者信用卡号码。
最新的攻击发生在最近几个月内,微软发现RevengeRAT或称AsyncRAT的木马程序,持续通过鱼叉式网络钓鱼(Spear phishing)信件传播,后续植入恶意程序以窃取受害者资料,锁定航空、货运及旅游企业。
一如所有钓鱼邮件,黑客冒充合法组织发送邮件,引诱受害者点击,例如邮件附件为冒充PDF文件的图片。在用户点击后即下载名为Snip3的RAT下载器,用以下载其他恶意程序,Snip3能躲避侦测特征的安全防护工具以免被发现。它在用户设备内会连接外部C&C服务器,再使用PowerShell及无文件(fileless)手法从外部Pastebin网站下载其他程序,包括用以窃密的Agent Tesla。
这只木马会持续重跑组件,直到能注入并劫持RegAsm、InstallUtil和RevSvcs等合法行程,以便窃取密码、屏幕截图、网络摄影机资料、浏览器或剪贴板资料、系统和网络信息,之后通过SMTP port 587将资料发送出去。
如果用户落在高风险受害产业,微软也提供侦测工具,供企业用来扫描内部网络是否有Snip3。