it之家 5 月 5 日消息,安全公司 cybereason 發文透露「老牌」惡意腳本 phorpiex 近日又捲土重來,成為傳播 lockbit 3.0 勒索木馬的載體,感染了相應腳本的設備會自動下載運行 lockbit 木馬,整個攻擊流程高度自動化,無需黑客額外遠程操作。
據悉,本次安全公司曝光的 phorpiex 腳本主要以釣魚郵件形式傳播,相應郵件附帶了有隱含腳本的 zip 壓縮包,用戶雙擊運行壓縮包中的 .scr 文件便會啟動腳本,相應腳本一經啟動,將連接黑客架設的(c2)伺服器,下載名為 lbbb.exe 的勒索木馬。在下載前,腳本會先清除受害者設備上的 url 緩存記錄,以保證後續重新下載不受本地緩存干擾,隨後才進行一系列勒索木馬部署過程。
為隱藏真實行為,相應腳本會多對關鍵字元串進行加密,並在運行時動態解析函數,只有在執行階段才會解密並載入所需系統組件。所有下載文件都存放在系統臨時文件夾,並以隨機文件名命名,以規避特徵比對安全軟體掃描,在惡意木馬成功部署後,相應腳本會刪除來源痕迹文件,徹底抹去可供追蹤的線索。
回顧這一 phorpiex 腳本,該腳本於 2010 年首次出現,活躍於各種網路攻擊場合,最早相應腳本主要是在受害者電腦上挖數字貨幣,近年來則是變身為其他惡意木馬的載體,用來自動化部署各種惡意內容。
安全公司認為,phorpiex 具備高度模塊化設計,憑藉自我複製、自動運行和自動清理痕迹特性,成為各路黑客常用的自動化攻擊腳本。
而在 lockbit 方面,相應木馬 / 黑客團隊最初於 2019 年出現,主打「勒索即服務(it之家註:ransomware-as-a-service)」模式,對全球多地基礎設施機構進行無差別攻擊以索要贖金,儘管該組織在去年初已被多國執法機構聯手打擊,但仍有一小撮殘餘黑客尚存,本次相應黑客藉助 phorpiex 傳播 lockbit 3.0,也再次印證了其捲土重來的勢頭。
