社工方法加载OLE对象,更改浏览器代理设置窃取信息

简介:

随着 Windows 安全性的明显提高和缓解措施的利用,攻击者为了避免昂贵的漏洞利用成本,更倾向于采用低成本的社会工程方法进行攻击。最近,我们发现了使用社工方法加载恶意OLE 对象,通过更改用户浏览器代理设置来窃取敏感信息的攻击。

1 攻击样本

攻击通过邮件附件方式传播:

图:邮件样例

在邮件附件.docx文件中,是一个双击可运行脚本的OLE嵌入对象,它通过一个类似发票或收据的图标来掩饰自身。

图:附件配有德语标题”要查看收据,请双击运行“

双击图片之后,运行了一个貌似正常的JScript文件,但是,如果脚本被正常执行,它将产生恶意行为:

图:JS脚本通常名为paypal_bestellung.js或post.ch_65481315.js

2 JScript 脚本内容和功能

解密脚本

该脚本为加密代码:

图:JS脚本加密样本

脚本释放并执行恶意组件,同时更改浏览器代理设置相关的注册表项。经过解密后的代码主体为:

图:解密后的代码主体

内置文件

在该 JScript 代码中又内置多个PowerShell脚本和一个认证证书,证书经过认证之后,用来监听HTTPS流量信息:

图:用左边函数解密后发现的其它恶意组件

受害者电脑的临时文件夹中将会释放和执行以下组件:

图:释放的恶意组件样本

恶意程序的自带认证证书cert.der :

图:证书通用信息

图:证书详细信息

图:证书认证信息

内置恶意组件功能

cert.der :攻击者在证书通过认证之后,可以监听用户HTTPS的流量信息:

图:证书被加载之后的截图

ps.ps1:(PowerShell脚本)负责检查确认证书被正常安装:

图: ps.ps1 代码截图

psf.ps1: 负责在火狐浏览器中安装证书,因为Mozilla一般不使用系统提供的第三方证书,只支持自身证书库证书。

图: psf.ps1代码截图

pstp.ps1:负责安装Tor客户端插件、任务计划程序task scheduler和代理软件proxifier。这是恶意程序篡改浏览器代理设置的一种方法。

图: pstp.ps1代码截图

更改注册表

为了达到更改浏览器代理设置的目的,该JScript脚本还对浏览器相关的注册表项进行篡改:

子键:HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings

篡改项:AutoConfigURL

篡改之后的值:http://pysvonjm6a7idbkz.onion/rejtyahf.js?ip=

图: 更改注册表键值

当用户使用浏览器进行网站访问后,将会返回以下代码。代码执行的功能可能是更改用户浏览器代理设置,重定向到某个恶意钓鱼或广告站点。

图: 代码中包含function FindProxyForURL(url,host){return”DIRECT”}

3 总结与建议

当系统受到这种攻击感染之后,包括HTTPS在内的WEB流量信息将会被恶意代理端劫持。攻击者可以实现远程重定向、更改和监控用户的浏览器使用信息,当然,一些储存在浏览器中的敏感数据和密码凭据等信息也会悄悄变成攻击者的囊中之物。

建议:

不打开来历不明的邮件;

不浏览不受信网站;

参照我们前期的分析博客,如果有以下注册表值,可进行更改:

HKCUSoftwareMicrosoftOfficeSecurityPackagerPrompt.

Office Version:

16.0 (Office 2016) 15.0 (Office 2013) 14.0 (Office 2010) 12.0 (Office 2007)

Office application: word excel...

更改键值:

0 点击对象,执行但不提示。

1 点击对象,执行并提示

2 点击对象,不提示不执行。

本文转自d1net(转载)

相关文章
|
10天前
|
编解码 缓存 安全
用指纹浏览器为什么要搭配代理IP
指纹浏览器结合代理IP能有效提升网络隐私与安全。指纹浏览器通过生成独特用户标识防止追踪,但高级追踪技术仍可能暴露信息。代理IP可隐藏真实IP,增加匿名性,规避网络限制,并在指纹检测中混淆身份,增强安全。代理IP还能加速网络访问并提高稳定性。然而,选择可靠代理IP服务并遵守法规至关重要。
|
10天前
|
Web App开发
vscode设置默认浏览器
vscode设置默认浏览器
|
10天前
|
前端开发 JavaScript 开发者
什么是浏览器对象的 preventDefault 方法
什么是浏览器对象的 preventDefault 方法
35 1
|
10天前
|
JavaScript 前端开发 UED
浏览器对象模型 (BOM)
浏览器对象模型(Browser Object Model,简称BOM)是JavaScript中用于操作浏览器窗口和与其相关对象的一种模型。BOM提供了一系列与浏览器窗口进行交互的对象,使得JavaScript可以对浏览器窗口进行控制和操作。其中最核心的对象是window对象,它代表了浏览器窗口本身。
21 1
Edge浏览器控制台(F12)中网络不显示接口信息
Edge浏览器控制台(F12)中网络不显示接口信息
|
10天前
|
前端开发 JavaScript API
如何在不同浏览器中创建和使用 XMLHttpRequest 对象来执行 HTTP 请求
如何在不同浏览器中创建和使用 XMLHttpRequest 对象来执行 HTTP 请求
11 2
|
10天前
|
Web App开发 前端开发 搜索推荐
Chrome 浏览器中的一个隐藏设置页面
Chrome 浏览器中的一个隐藏设置页面
117 8
|
10天前
|
JavaScript 前端开发
JavaScript BOM 浏览器对象模型
JavaScript BOM 浏览器对象模型
|
10天前
|
Web App开发 Linux Android开发
Chrome谷歌浏览器的WeChat微信模拟器,既可以设置模拟很多型号的手机设备Mozilla
Chrome谷歌浏览器的WeChat微信模拟器,既可以设置模拟很多型号的手机设备Mozilla
|
10天前
|
存储 JavaScript 前端开发
在浏览器中存储数组和对象(js的问题)
在浏览器中存储数组和对象(js的问题)
16 0