病毒描述 | 国家计算机病毒应急处理中心通过对互联网的监测,发现一款名为“MassLogger”的信息窃取恶意软件正在通过大量投送的钓鱼邮件进行感染传播。攻击者发送了大量带有敏感主题和内容的钓鱼邮件,诱使用户点击恶意附件,触发Office软件上的远程代码执行漏洞,从而完成恶意软件下载。MassLogger具有十分丰富的恶意功能,能够收集受害者的主机基本信息、浏览器配置信息、浏览器凭证、邮箱配置、剪切板内容以及键盘记录等,同时对自身代码进行了混淆,并采用了反射加载技术,具有较大的危害性。 MassLogger恶意软件利用Office WinWord漏洞感染攻击目标,漏洞编号CVE-2017-11882。该漏洞因为Office工具软件公式编辑器使用了不安全的函数strcpy(),使得攻击者可以进行栈溢出攻击执行任意代码。此次攻击活动中,攻击者大量发送以Office Word文档作为附件的钓鱼邮件,通过敏感主题及内容诱使受害者执行恶意附件。恶意附件运行后会触发CVE-2017-11882漏洞,执行Shellcode从C&C服务器下载恶意文件,并通过反射加载技术运行MassLogger恶意软件,实现敏感信息窃取。 |