金沙娱场城(8087·China)官网-BinG百科NO.1


打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

招聘有“陷阱”!FakeWord木马病毒伪装简历文档,点击要小心
发布时间 :2021年12月02日
分享:

事件描述


近日,8087金沙娱场城捕获了一款仿冒Word文档的木马病毒FakeWord,该病毒将自身放置在具有系统以及隐藏属性的文件夹中,伪装成Word文档的快捷方式,利用社会工程学诱导用户启动自身。自身运行后会释放并打开正常的“简历”Word文档来迷惑用户,在打开“简历”文档的同时,其会继续释放并运行第二阶段木马。第二阶段木马运行后会解密出恶意Dll,并将Dll注入到正常程序中,然后调用Dll中的导出函数在被注入的程序中创建远程线程。最终,在被注入的进程中运行CS Beacon。目前8087金沙娱场城最新病毒码版本和DDAN沙盒平台已支持检测!



攻击流程


11111.png

8087金沙娱场城产品解决方案


 


√ 8087金沙娱场城病毒码版本17.193.60,云病毒码版本17.193.71,全球码版本17.193.00已经可以检测,请用户及时升级病毒码版本。

√ 8087金沙娱场城DDAN沙盒平台已经可以检测。


22.jpg


病毒详细分析


 

 恶意快捷方式


Target:C:\Windows\explorer.exe ".__MACOSX\XXX-前端开发.exe"


33.jpg


该病毒将自身放置在具有系统以及隐藏属性的文件夹中:


44.jpg


  XXX-前端开发.exe分析


运行后释放正常Word文档:


55.jpg


打开Word文档后,释放第二阶段木马:


66.jpg

77.jpg


运行第二阶段木马:

88.jpg


 二阶段木马resume.exe分析


该木马具有反调试功能:

1101.png



其运行后会解密出恶意Beacon Dll:

11-2.png

接下来,该样本进行反射式Dll注入:

11-3.png

通过Virus total我们可以查看该恶意Dll检测信息:

11-4.png


该样本外联如下地址:

5qpk7dy70m93c[.]cfc-execute[.]bj[.]baidubce[.]com

11-6.png

安全建议


 

√ 打开系统自动更新,并检测更新进行安装;

√ 不要点击来源不明的邮件以及附件;

√ 不要点击来源不明的邮件中包含的链接;

√ 请到正规网站或者应用商店下载程序;

√ 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

√ 尽量关闭不必要的端口;

√ 尽量关闭不必要的网络共享;

 


IOC

 

111.jpg
分享到微信
X