研究人員在一份文件中發現惡意巨集程式。

圖片來源: 

趨勢科技

趨勢科技研究人員發現一隻巨集病毒會感染、並綁架受害電腦的特定桌面捷徑,用以下載後門程式。

趨勢科技研究人員是在一封包含圖片檔的俄文文件發現這隻巨集惡意程式。它先要求使用者執行巨集以開啟整份文件,等用戶照做後,就會尋找知名app的桌面捷徑檔或快速啟動功能,包括Skype、Google Chrome、Mozilla Firefox、Opera及微軟IE等加以感染並取代指向的連結。

攻擊手法:(來源:趨勢科技)

當下次用戶點擊這些捷徑時就會執行惡意程式,悄悄下載後門程式到電腦上。有趣的是,研究人員Loseway Lu發現惡意程式執行後,惡意檔案就會自動移除,使那些遭感染的捷徑恢復正常,降低使用者警覺性。

同時間,這隻後門程式開始啟動多階段下載過程,先利用Windows 工具如WinRAR從Google Drive或GitHub載入惡意檔案、啟動資料竊取,最後利用遠端桌面程式Ammyy Admin及SMTP(Simple Mail Transfer Protocol)協定將從用戶電腦資訊如路由器IP位址傳送出去。

這個「攻擊」行為目前還只是資料竊取而已,樣本數也不多,研究人員相信攻擊者還在發展階段,因而判斷之後還會有新版本釋出。


Advertisement

更多 iThome相關內容