Bitdefender安全研究人员发现大量垃圾邮件中含有微软的Publisher(PUB)文件,这些文件中带有会感染计算机的后门木马。
Bitdefender称在短时间内检测到上千封这类邮件,所有邮件中都包含.pub文件。
这些邮件主题大都声称是英国和中国的各种品牌的订单和发票。
PUB文件 -> VB脚本 ->AutoIt脚本 ->后门木马
附件中的PUB文件,打开后会启动一个VB脚本并在用户PC端下载自解压压缩文件(CAB)。
压缩文件中包括一个 AutoIt脚本,一个运行 AutoIt脚本的工具,以及一个使用AES-256算法加密的文件。Bitdefender团队注意到AutoIt脚本中有一个字符串为加密文件的解密密钥。
这个加密文件实际上是一个后门木马,允许攻击者连接到受感染的PC。
木马可以记录键盘按键,偷取密码
这款木马也可以记录键盘按键,获取到输入登录界面的密码,浏览器和电子邮件客户端密码,以及关于受感染系统的信息,等等。
Bitdefender团队还没有为这款恶意软件命名,目前仅检测为Generic.Malware.SFLl.545292C。安全警报检测到的PUB文件为W97M.Downloader.EGF.
这款恶意软件传播的载体也比较少见,使用了PUB文件,这是微软Office 365套件中的一款应用。
Bitdefender反垃圾邮件实验室负责人Adrian Miron表示,.pub不是托管恶意软件的典型文件类型,邮件发送者选择这种文件格式是因为人们通常不会将它和恶意软件感染联系起来。
长按二维码,关注“代码卫士”
您的专属代码体检专家