思科安全研究人员发现一种可利用 PowerShell 脚本从 DNS 记录中提取 C&C 服务器命令的恶意软件。该恶意软件借助垃圾邮件传播并借用 McAfee 的名声利用武器化的 Word 文档感染用户。攻击过程中使用的恶意代码基于 Windows PowerShell 脚本,后门木马通过 DNS 域名服务与 C&C 基础设施实现通信。这种通过 DNS 流量进行的通信联系的方式将更加隐蔽。
攻击者利用社会工程学来欺骗受害者打开恶意 Word 文档。该文档内容显示“此文档受 McAfee 保护”,由于 McAfee 是一个十分知名的安全公司,这大大增加了受害者对该文件的信任并按照“ McAfee ”提示启用内容。当受害者打开文档时,恶意宏将启动 PowerShell 命令进行安装后门。此后恶意代码将执行 PowerShell 命令通过 DNS TXT 消息向 C&C 服务器发送请求并接收响应。
原作者:Pierluigi Paganini,译者:M帅帅
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。0day
文章评论