近日微軟發布威脅警報,稱一款名為 RevengeRAT 的遠程訪問工具正針對航空航天和旅遊行業發起魚叉式釣魚攻擊。這種特殊的威脅是通過電子郵件傳遞的,在騙取收件人的信任之後誘導受害者打開 Adobe PDF 格式附件,並繼續下載惡意文件。
微軟解釋道,攻擊者利用這類遠程訪問木馬盜取用戶數據,而且在後期可以通過傳遞額外的攻擊有效載荷,用於數據滲透。
從數據盜竊到後續活動,以及傳遞額外的攻擊有效載荷,用於數據滲透。微軟在一系列關於這一威脅的推文中解釋說:“該活動使用欺騙合法組織的電子郵件,其誘餌與航空、旅行或貨物有關。一個冒充PDF文件的圖像包含一個嵌入式鏈接(通常是濫用合法的網絡服務),下載一個惡意的VBScript,從而投放RAT有效載荷”。
這類木馬會竊取用戶登錄憑證以及網絡攝像頭圖像等內容,以及系統剪貼板上被用來複制的任何東西。還有一點需要注意,這個威脅活動的中心的惡意可執行內容是一個名為 Snip3 的加載器。安全公司 Morphisec 還指出了 Snip3 的另一個特點–如果 “腳本在微軟沙盒、VMWare、VirtualBox或Sandboxie環境中執行”,並且它識別出這些虛擬機環境之一,腳本就會終止,而不會加載木馬。