最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

在武器化的Microsoft Office文档中交付的Escanor恶意软件

网络安全 快米云 来源:快米云 39浏览

研究人员在暗网和电报中发现了一种名为 Escanor 的新 RAT(远程管理工具)

Resecurity 是一家总部位于洛杉矶的网络安全公司,旨在保护全球财富 500 强企业,该公司确定了一种名为 Escanor 的新 RAT(远程管理工具)在暗网和电报中进行广告宣传。威胁行为者提供基于 Android 和基于 PC 的 RAT 版本,以及 HVNC 模块和漏洞利用构建器,以武器化 Microsoft Office 和 Adob​​e PDF 文档以传递恶意代码。

该工具已于今年 1 月 26发布销售,最初是作为紧凑型 HVNC 植入物,允许建立与受害者计算机的静默远程连接,后来转变为具有丰富功能集的全面商业 RAT。Escanor 在暗网中建立了良好的声誉,并在 Telegram 频道上吸引了超过 28,000 名订阅者。过去,具有完全相同绰号的演员发布了其他暗网工具的“破解”版本,包括毒液 RAT、888 RAT 和 Pandora HVNC,这些工具可能用于丰富 Escanor 的进一步功能。    

Escanor 恶意软件

网络犯罪分子积极使用 Escanor 的移动版本(也称为“Esca RAT”)通过拦截 OTP 代码来攻击网上银行客户。该工具可用于收集受害者的 GPS 坐标、监控击键、激活隐藏的摄像头以及浏览远程移动设备上的文件以窃取数据。

Escanor 恶意软件

欺诈者监控受害者的位置,并利用 Esca RAT 窃取在线银行平台的凭据,并从同一设备和 IP 对受损账户进行未经授权的访问——在这种情况下,欺诈预防团队无法检测到它并及时做出反应” – Resecurity, Inc. 的恶意软件分析师 Ali Saifeldin 说,他调查了最近的几起网上银行盗窃案件。  

最近检测到的大多数样本都是使用 Escanor Exploit Builder 交付的。演员们使用诱饵文件模仿流行在线服务的发票和通知。

值得注意的是,域名“escanor[.]live”之前已被识别为与 AridViper (APT-C-23 / GnatSpy) 基础设施有关。APT-C-23 作为一个团体在中东地区活跃,尤其以以色列军事资产为目标。在奇虎 360 发布报告后,Escanor RAT 演员发布了一段视频,详细介绍了如何使用该工具绕过 AV 检测。

Escanor 恶意软件

在美国、加拿大、阿联酋、沙特阿拉伯、科威特、巴林、埃及、以色列、墨西哥和新加坡发现了大多数被 Escanor 感染的受害者,在东南亚也有一些感染。 

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 在武器化的Microsoft Office文档中交付的Escanor恶意软件