Недавно 360 BaiZe Labs перехватили новый вирусный модуль, выпущенный трояном Drive the Life . В ходе анализа выборки мы обнаружили, что этот модуль представляет собой червя, который может использовать учетную запись электронной почты жертвы для отправки фишинговых писем, связанных с COVID-19, другим контактам этой учетной записи. Эта серия троянов была затем распространена и развернута. Автор вируса назвал последнюю задачу «Троянский конь» «bluetea», поэтому мы назвали это обновление «BlueTea Action». Соответствующая логика кода для отправки фишингового электронного письма выглядит следующим образом:
Заголовок фишингового сообщения был «Правда COVID-19», а вложение было вредоносным файлом RTF, содержащим уязвимость CVE-2017-8570:
После того, как уязвимость сработает, она выполнит следующий сценарий sct:
Загруженный скрипт подвергается множественным запутываниям. Содержание после деобфускации выглядит следующим образом. Вирус находится в основном за счет создания нескольких запланированных задач, одна из которых называется «bluetea».
Несколько раз обновлялись модуль распространения, обфускации и получения прибыли этой серии троянов. От вечных голубых лазеек до слабых взломов паролей, он теперь распространяется через почтовых червей. Хакерская банда, стоящая за ней постоянно обновляет вирус, но не беспокойтесь, 360 Total Security может точно блокировать таких троянских программ и всегда защищать безопасность вашего компьютера.
Подробнее о 360 Total Security