現(xiàn)場一個新的木馬正在通過檢查鍵盤布局有選擇地攻擊中東地區(qū)的目標(biāo)，并試圖通過濫用云服務(wù)來避免被列入黑名單。

周四，思科Talos的一名網(wǎng)絡(luò)安全研究員表示，一個名為JhoneRAT的遠(yuǎn)程訪問木馬正在通過微軟Office文件積極傳播，其中包含惡意宏。

通過網(wǎng)絡(luò)釣魚活動識別的第一個文件名是“august.docx”，要求收件人用英語和阿拉伯語編輯。第二個名為“fb.docx”，聲稱包含F(xiàn)ace book信息泄露的數(shù)據(jù)，第三個聲稱來自合法的阿聯(lián)酋組織。

在每種情況下，如果啟用編輯，將加載并執(zhí)行包含惡意宏的其他Office文檔。

研究團(tuán)隊表示，這些文件是通過谷歌驅(qū)動托管的，“以避免將網(wǎng)址列入黑名單”。

JhoneRAT是用Python編寫的，并通過Google Drive刪除，Google Drive攜帶帶有base64編碼二進(jìn)制附件的圖像。一旦將這些鏡像加載到易感機(jī)器上，就會部署木馬，木馬會立即開始從受害者的機(jī)器上獲取信息，包括類型、磁盤序列號、正在使用的操作系統(tǒng)等。

當(dāng)與其命令和控制服務(wù)器(C2)通信以提取信息時，每10秒鐘通過公共推特訂閱源檢查一次命令。Handle @jhone87438316最初被使用，但現(xiàn)在帳戶被暫停。

研究人員表示：“這些命令可以根據(jù)每個目標(biāo)上生成的uid(通過使用磁盤序列號和上下文信息，如主機(jī)名、防病毒和操作系統(tǒng))發(fā)布給特定受害者，也可以發(fā)布給所有受害者?！?

CNET:當(dāng)黑客攻擊地方選舉時，聯(lián)邦調(diào)查局將開始通知各州。

然而，實際的數(shù)據(jù)盜竊是通過云提供商ImgBB和GoogleDrive和Forms進(jìn)行的。截圖上傳到ImgBB，從驅(qū)動器下載二進(jìn)制文件，執(zhí)行命令，輸出發(fā)送到表單。

惡意軟件的一個有趣的方面是如何選擇目標(biāo)。過濾是基于受害者的鍵盤布局，惡意軟件將只對阿拉伯語國家的用戶執(zhí)行。

思科塔拉斯表示，Jhonerat的目標(biāo)是沙特阿拉伯、伊拉克、埃及、利比亞、阿爾及利亞、摩洛哥、突尼斯、阿曼、也門、敘利亞、阿拉伯聯(lián)合酋長國、科威特、巴林和黎巴嫩。

研究人員表示：“這項運動始于2019年11月，目前仍在進(jìn)行中?！贝藭r，API密鑰被撤銷，推特賬戶被暫停。但是，攻擊者可以輕松創(chuàng)建新帳戶并更新惡意文件以使其仍然工作。"

科技共和國：這些主題是被點擊最多的釣魚網(wǎng)站。

另一個不尋常的特洛伊木馬，目前是FakeToken，正在接受威脅研究人員的檢查。當(dāng)受害者試圖登錄在線賬戶時，法克托肯開始了它的旅程。作為傳統(tǒng)桌面木馬使用的一種外掛惡意軟件，F(xiàn)ake Token被用來攔截發(fā)送到移動設(shè)備的驗證碼，從此演變成一種獨立的金融威脅。

最近，一場FakeToken活動展示了一個奇怪的行為——劫持移動設(shè)備的消息設(shè)施，發(fā)送攻擊性短信。

網(wǎng)絡(luò)安全研究人員不知道為什么，只知道很多收件人在國外。因此，短信可能通過向這些號碼發(fā)送昂貴的信息來賺取收入。

　　免責(zé)聲明：本文由用戶上傳，與本網(wǎng)站立場無關(guān)。財經(jīng)信息僅供讀者參考，并不構(gòu)成投資建議。投資者據(jù)此操作，風(fēng)險自擔(dān)。 如有侵權(quán)請聯(lián)系刪除！