新型完全隐形的Windows PowerShell后门感染近百名受害者

重点摘要

根据The Register的报道，近100名受害者似乎受到了一种新型、完全无法检测的Windows PowerShell后门的影响。根据SafeBreach Labs的研究人员的报告，这种FUDFully Undetectable后门背后的威胁行为者启动了一场网络钓鱼活动，伪装成基于LinkedIn的工作机会，诱使用户下载一个包含恶意宏的Word文档。

该报告显示，这个宏可以创建一个计划任务，假装成Windows更新，并在执行时运行名为updatervbs的脚本，而该脚本会运行PowerShell脚本，从而打开一个远程控制后门。根据SafeBreach的安全研究总监Tomer Bar的说法，恶意软件会生成两个PowerShell脚本，并将脚本的内容进行混淆，以防止在VirusTotal上被检测到。SafeBreach指出，禁用宏的系统可以防止此类攻击。

“但是如果威胁行为者使用其他攻击向量例如利用漏洞而不是宏，那么FUD PowerShell 恶意软件依然会生效并监视受害者，”SafeBreach的一位发言人表示。

这种情况突显了加强网络安全的重要性，尤其是对员工进行安全意识培训，以识别网络钓鱼攻击和恶意文件的重要性。企业应考虑实施额外的安全措施，以防止恶意软件的入侵和数据泄露。