恶意钓鱼活动的警报

关键要点

研究人员对一项精巧的钓鱼活动发出了“严重危急”的警报。一份恶意的 Microsoft Word 文档包含了多种恶意软件，包括 RedLine Clipper、Agent Tesla 和 OriginBotnet，这让任何被欺骗的用户都面临严重风险。

根据 FortiGuard Labs 的技术分析，所有组织都可能受到影响。研究人员在周一发布了该恶意文档的技术解读，提供了详细的攻击信息。若想了解更详细的信息，可以查看他们的技术分析报告。

根据资深病毒分析师 Cara Lin 的分析，这份 Word 文档内含的恶意 URL 会向受害者系统注入恶意软件。所涉及的恶意软件包括 OriginBotnet用于记录按键和恢复密码、RedLine Clipper通过剪贴板数据进行加密货币盗窃以及 Agent Tesla用于收集凭证。

该攻击目标关注与多个应用相关的数据，包括流行的加密货币钱包、主流浏览器、Outlook 及其他电子邮件客户端，以及众多 VPN 服务。

“攻击开始于通过钓鱼邮件分发的恶意 Word 文档，引导受害者下载一个加载器，该加载器执行一系列恶意软件载荷。”Lin 写道，“此次攻击展示了复杂的技术以规避检测并在被攻陷的系统中保持持久性。”

“复杂的事件链”

Lin 提到，这场与钓鱼活动相关的网络攻击涉及“复杂的事件链”。

首先，钓鱼邮件附件中的 Word 文档展示为模糊图像，并伴有伪造的 reCAPTCHA。一旦点击，嵌入的链接会执行恶意文件作为初始加载器，随后启动多个功能，分为四个阶段。

这是一份恶意 Word 文档，显示了故意模糊的图像和伪造的 reCAPTCHA。 来源：FortiGuard Labs

第二个阶段开始执行多个功能以确保持久性，并将一个 EXE 文件复制到目录，从而确保文件“audacityexeexe”即使在设备重启后也会自动运行。

RedLine Clipper也称为 ClipBanker专门用于盗窃加密货币，来源于 URL https//softwarez[]online/javau[]exe。这是一个 NET 可执行文件，经过 SmartAssembly 打包。Lin 的写道，该恶意软件通过操纵用户的剪贴板活动，将目的钱包地址替换为攻击者的地址。

Agent Tesla 恶意软件能够记录按键，访问剪贴板并扫描设备磁盘以获取凭证及其他数据。根据 Lin 的说法，它还通过 HTTP(S)、SMTP、FTP，甚至专用的 Telegram 通道将收集到的信息传输到其指挥控制服务器。Agent Tesla 在系统注册表中自我建立为自动运行的入口。

OriginBotnet 被存储为“davidexe”，具有多种能力，包括收集敏感数据，与其 C2 服务器建立通信，并从服务器下载附加文件，以在被攻陷的设备上执行按键记录或密码恢复功能，Lin 这样写道。