據國外安全研究人員最近發現了兩個單獨的惡意軟件活動，其中一個是Ursnif數據竊取木馬和GandCrab勒索病毒軟件組合在野外分發，而第二個僅用Ursnif惡意軟件對用戶設備進行感染。

這兩個惡意軟件活動似乎都是兩個獨立的網絡犯罪集團操縱，但發現其中還是有許多相似之處。這兩種攻擊都是通過包含嵌入了惡意宏的Microsoft Word文檔附件，進行網絡釣魚電子郵件開始，然后使用Powershell提供無文件惡意攻擊。

Ursnif是一種用于竊取數據的惡意軟件，可以從受感染的計算機竊取敏感信息，諸如收集銀行憑據、用戶活動、捕捉鍵盤信息、系統和流程信息以及部署其他后門程序等。GandCrab是一種勒索病毒軟件，去年早些時候被發現，像市場上的其他勒索軟件一樣，通過加密受感染系統上的文件，勒索受害者以數字貨幣支付贖金，而且黑客開發者主要在跟蹤極其復雜的DASH中要求付款。

[[256421]]

MS Docs + VBS宏= Ursnif和GandCrab感染

國外安全機構Carbon Black的安全研究人員發現了第一個發布兩個惡意軟件威脅的惡意軟件活動，定位了大約180種針對的是惡意VBS宏用戶的MSWord文檔。如果成功執行惡意VBS宏，將運行PowerShell腳本，然后使用一系列技術在目標系統上下載并執行Ursnif和GandCrab。PowerShell腳本在base64中編碼，執行下一個感染階段，負責下載主要惡意軟件負載以對系統進行危害。其中，第一個有效負載是PowerShell單行程序，用于評估目標系統的體系結構，然后從Pastebin網站下載額外的有效負載，該負載在內存中執行，使傳統的反病毒技術難以檢測其活動。

這個PowerShell腳本是Empire Invoke-PSInject模塊的一個版本，只有很少的修改，該腳本將采用base64編碼的嵌入式PE [Portable Executable]文件，并將其注入當前的PowerShell進程。

最后在受害者的系統上安裝一個GandCrab勒索病毒軟件的變體，將鎖定系統，直到受害者用數字貨幣支付贖金，題外話是就算受害者支付了贖金，是否能解開勒索軟件的鎖定，其實還是一個未知數，所以我經常說相信一個勒索者的信譽，那是對自己最大的傷害。

同時，惡意軟件還從遠程服務器下載Ursnif可執行文件，一旦執行，它將獲取系統指紋，監視Web瀏覽器流量以收集數據，然后將其發送給攻擊者的命令和控制(C&C)服務器。

MS Docs + VBS宏= Ursnif數據竊取惡意軟件

另外，Cisco Talos安全研究人員發現的第二個惡意軟件活動利用包含惡意VBA宏的Microsoft Word文檔，為Ursnif惡意軟件的一種變體提供下載。此惡意軟件攻擊還會在多個階段危及目標系統，從網絡釣魚電子郵件到運行惡意PowerShell命令，以獲得無文件持久性的攻擊，然后下載和安裝Ursnif惡意軟件竊取計算機數據。

[PowerShell]命令有三個部分。第一部分創建一個函數，后用于解碼base64編碼的PowerShell。第二部分創建一個包含惡意DLL的字節數組，第三部分執行第一部分中創建的base64解碼函數，其中base64編碼的字符串作為函數的參數。返回的解碼后的PowerShell隨后由簡寫的Invoke-Expression(iex)函數執行。

一旦在受害計算機上執行，惡意軟件將從系統收集信息，打包成CAB文件格式，然后通過HTTPS安全連接將其發送到其命令和控制服務器。Talos研究人員在他們的博客文章中發布了一份攻擊指標(IOC)列表，以及在受感染機器上刪除的有效負載文件名稱，可以幫助您在感染網絡之前檢測并阻止Ursnif惡意軟件。