在最近几周里,Cybaze-Yoroi ZLab的研究人员发现,有人试图向意大利军工企业发送远程访问木马 。如果没有安装,它将通过一个硬编码的网址(hxxp://www[.thegoldfingerinc[.]com/images/jre.zip)进行下载 。Cybaze-Yoroi ZLab的研究人员表示,这很可能是一个被攻击者黑掉的第三方网站 。
JRE.zip文件包含的内容
下载JRE.zip文件之后,恶意程序会将其安装在受感染计算机上 。随后,恶意程序会在受感染计算机上添加一个“CurrentVersion\\Run”注册表项,以便在每次计算机重新启动之后都能够自动运行 。
恶意程序添加的注册表项
最终有效载荷JRat RAT分析
【最新恶意电子邮件活动瞄准意大利军工企业,旨在传播JRat远控木马】由带有变量名“duvet”的字符串隐藏的另一层代码包含一个名为“ longText ”变量被用于编码一个可执行JAR包 , 其中便包含了适用于多个平台(Win/macOS)的JRat远控木马(SHA256:9b2968eaeb219390a81215fc79cb78a5ccf0b41db13b3e416af619ed5982eb4a) 。
虽然它是一个全新的变种,但它仍具有典型的JRat远控木马代码结构 。
JRat远控木马的结构
虽然攻击者使用了Stajazk VPN服务来隐藏自己的真实位置,但一些IP地址对于Cybaze-Yoroi ZLab的研究人员来说是十分熟悉的,因为它们自2018年10月份以来就经常遭到滥用,以至于他们被研究人员发现只是时间早晚的问题 。
以上就是朝夕生活(www.30zx.com)关于“最新恶意电子邮件活动瞄准意大利军工企业,旨在传播JRat远控木马”的详细内容,希望对大家有所帮助!
猜你喜欢
- 科普:常见宽带故障代码初步排查不求人
- 指纹锁品牌十大排行榜,米家上榜,第二名望影响力排名前列
- 8月15日 江苏家电-会员每日特价
- 画面色彩像白开水怎么办?高色域显示器来帮你
- 看着更舒服 自定义调节色彩
- Android 手机修改屏幕亮度方案
- 荣耀V30 5G半月体验:便宜是它的优点,也是缺点
- 解决启动Android应用程序时出现白屏问题和图片拉伸变形问题
- 洋酒十大品牌排行榜:百龄坛上榜,第一已有326年历史