網(wǎng)絡(luò)犯罪分子正在向網(wǎng)站聯(lián)系表格和論壇發(fā)送垃圾郵件，以分發(fā) Excel XLL 文件，而它會(huì)下載和安裝 RedLine 惡意軟件，用于密碼和信息竊取。

RedLine 是一種信息竊取木馬程序，它會(huì)竊取存儲(chǔ)在 Web 瀏覽器中的 cookie、用戶名和密碼以及信用卡，以及受感染設(shè)備的 FTP 憑據(jù)和文件。

除了竊取數(shù)據(jù)，RedLine 還可以執(zhí)行命令、下載和運(yùn)行更多惡意軟件，以及進(jìn)行 Windows的屏幕截圖。

所有這些數(shù)據(jù)都被收集并發(fā)送回攻擊者那里，之后在犯罪市場(chǎng)上出售或用于其他惡意和欺詐活動(dòng)。

在過(guò)去的兩周里，BleepingComputer 的聯(lián)系表格收到多次垃圾郵件，其中包含不同的網(wǎng)絡(luò)釣魚(yú)誘餌，如虛假?gòu)V告請(qǐng)求、節(jié)日禮物和網(wǎng)站促銷。

在對(duì)誘餌進(jìn)行研究后，BleepingComputer 發(fā)現(xiàn)這是一項(xiàng)針對(duì)許多使用公共論壇或文章評(píng)論系統(tǒng)的網(wǎng)站的大規(guī)?；顒?dòng)。

在 BleepingComputer 發(fā)現(xiàn)的一些網(wǎng)絡(luò)釣魚(yú)誘餌中，攻擊者創(chuàng)建了虛假網(wǎng)站來(lái)托管用于安裝惡意軟件的惡意 Excel XLL 文件。

例如，有一次攻擊使用了以下垃圾郵件和一個(gè)模仿合法 Plutio 網(wǎng)站的虛假網(wǎng)站。

其他垃圾郵件偽裝成付款報(bào)告、廣告請(qǐng)求或禮品指南，其中包含指向托管在 Google 云端硬盤上的惡意 XLL 文件的鏈接，如下所示。

特別有趣的是針對(duì)網(wǎng)站所有者的誘餌，這種誘餌會(huì)請(qǐng)求在他們的網(wǎng)站上做廣告并要求他們查看合約的條款，這會(huì)啟動(dòng)惡意“terms.xll”文件，并安裝惡意軟件。

把你網(wǎng)站上的廣告位賣給我們，起價(jià)500美元/n你可以在下面的鏈接中閱讀我們的條款

Https://drive.google /file/d/xxx/view? usp = sharing

BleepingComputer 還收到了其他的誘餌郵件，如下所示：

感謝您使用我們的應(yīng)用程序。您的付款已被批準(zhǔn)。點(diǎn)擊下面的鏈接可以看到您的付款報(bào)告：

?https://xxx [ . ] link/report.xll?

谷歌剛剛公布了2021年最熱門的100件禮物，我贏得了一萬(wàn)美元。你也想要嗎? 閱讀和接受條款

Https://drive.google /file/d/xxx/view? usp = sharing

這些垃圾郵件活動(dòng)旨在推送惡意 Excel XLL 文件，這些文件會(huì)在受害者的 Windows 設(shè)備上下載并安裝 RedLine 惡意軟件。

XLL 文件是一個(gè)插件，允許開(kāi)發(fā)人員通過(guò)讀取和寫入數(shù)據(jù)、從其他源導(dǎo)入數(shù)據(jù)或創(chuàng)建自定義函數(shù)來(lái)執(zhí)行各種任務(wù)來(lái)擴(kuò)展 Excel 的功能。

XLL 文件只是一個(gè)包含一個(gè)“xlAutoOpen”函數(shù)的DLL 文件，在加載項(xiàng)打開(kāi)時(shí)由 Microsoft Excel 執(zhí)行。

BleepingComputer 和安全研究機(jī)構(gòu)?TheAnalyst一起進(jìn)行了測(cè)試，討論這次攻擊，我們做得測(cè)試并沒(méi)有正確加載 XLL 文件，但它們可能適用于其他版本的 Microsoft Excel。

但是，使用?regsvr32.exe?命令或“rundll32 name.xll,xlAutoOpen”命令手動(dòng)執(zhí)行 DLL 會(huì)將?wget.exe?程序解壓縮到%UserProfile%?文件夾，并使用它從遠(yuǎn)程站點(diǎn)下載 RedLine 二進(jìn)制文件。

?

這個(gè)惡意的二進(jìn)制文件保存為% UserProfile% JavaBridge32.exe [?VirusTotal] 然后被執(zhí)行。一個(gè)注冊(cè)自動(dòng)運(yùn)行條目也將被創(chuàng)建，每次受害者登錄 Windows都會(huì)自動(dòng)啟動(dòng)信息竊取軟件 ReadLine。

一旦惡意軟件被執(zhí)行，它將搜索有價(jià)值的數(shù)據(jù)來(lái)竊取，包括存儲(chǔ)在 Chrome、Edge、Firefox、Brave 和 Opera 瀏覽器中的憑據(jù)和信用卡。

由于 XLL 文件是可執(zhí)行文件，攻擊者可以使用它們?cè)谠O(shè)備上執(zhí)行各種惡意行為。因此，如果你收到這個(gè)文件，除非它來(lái)自受信任的來(lái)源，否則你絕不能打開(kāi)它。

這些文件通常不作為附件發(fā)送，而是通過(guò)另一個(gè)程序或通過(guò)您的 Windows 管理員安裝。

因此，如果您收到分發(fā)這些類型文件的電子郵件或其他消息，只需刪除該消息并將其報(bào)告為垃圾郵件即可。

?

消息來(lái)源：BleepingComputer，譯者：Zoeppo；

本文由 HackerNews.cc 翻譯整理，封面來(lái)源于網(wǎng)絡(luò)；

轉(zhuǎn)載請(qǐng)注明“轉(zhuǎn)自 HackerNews.cc ” 并附上原文鏈接

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/