Zyklon恶意软件选择Microsoft Office作为用于危害Win
在暂停一段时间之后,Zyklon恶意软件已经卷土重来。是的,据报道,2016年首次发现的木马通过欺骗性垃圾邮件活动感染了大量Windos系统,敦促人们下载恶意ZIP档案。它利用了Microsoft Office软件中存在的漏洞。
Zyklon恶意软件利用Microsoft Office漏洞感染Windos
Zyklon是一种在MS-DOS上运行的病毒。它是公开的,可用于多种目的,如间谍活动,DDoS攻击或挖掘加密货币。
当FireEye的安全专家发现新的Zyklon恶意软件通过Microsoft Office中的漏洞传递时,首先发现了这一事件。该团队报告称,该恶意软件主要针对电信和金融机构。
我们观察到最近一波Zyklon恶意软件主要通过垃圾邮件发送。该电子邮件通常带有包含恶意DOC文件的附加ZIP文件(图1显示了示例诱饵)。
以下行业是此次活动的主要目标:
电信
保险
金融服务
一旦交付并执行,名为tor的.NET资源部分中的加密文件将被解密并立即注入InstallUtiil.exe实例,并充当Tor匿名者。与服务器建立连接后,恶意软件使用多个命令与其控制服务器通信。它还解密200多种流行软件的许可证/序列密钥,包括Office,SQL Server,Adobe和Nero。完成后,Zyklon获得了劫持剪贴板的能力,并可能用演员控制服务器提供的地址替换用户复制的比特币地址。
由于已经确定了潜在目标,威胁行动者极有可能最终超出其当前目标的范围。为了保持安全,用户应确保其所有软件都已完全更新。