本报告详细记录了对主机感染 H-worm (VBS蠕虫) 的完整溯源分析过程。
核心结论:
主机在系统安装过程中,通过IT人员使用的、已被感染的 金士顿 (Kingston) DataTraveler 3.0 U盘 引入了病毒。IT人员在安装系统后,运行了U盘中被捆绑病毒的 KMS激活工具 (KMS_X64.EXE) 或 驱动工具 (驱动总裁.TMP, DRVCEO.EXE),导致病毒在后台释放并执行。
AMOS(Atomic macOS Stealer)是当前最活跃、最危险的macOS恶意软件之一,目前已从单一的数据窃取工具演变为具备后门持久化控制能力的系统性威胁。它并非传统意义上的计算机病毒,而是一种专门设计用来窃取信息的恶意软件(Infostealer),并以"恶意软件即服务"(MaaS)的模式在地下市场流通,任何付费的攻击者都可以使用它发起攻击。
AMOS通过精心设计的社会工程学陷阱进行传播,而非利用系统漏洞。主要方式包括:
自春节假期结束后,微步情报局监测到银狐攻击活动全面复活。3月,银狐已恢复到年前的活跃度,全月微步情报局捕获的新变种达500+,发现大量从去年下半年至今数次迭代的攻击手法,传播范围和对抗强度或已超越去年最高水平。
进入到3月,微步情报局频繁捕获到仿冒浙江省税务局电子税务平台的钓鱼页面。
用户点击钓鱼页面内任意链接,都会触发内置的js跳转事件:
事件触发后,会弹出一个"系统版本过低,需要升级"的虚假弹窗,诱导用户下载银狐木马程序:
Atomic Stealer(通常追踪为 AMOS)已成为 macOS 威胁环境中最为持久的威胁之一。凭借无休止的开发周期和多样化的分发网络,它没有任何减缓的迹象。研究人员已广泛记录了其标志性战术:"ClickFix"浏览器社会工程钓鱼提示、伪装的应用安装程序,以及最近的 malext 变体(通过恶意广告活动传播)。
https://s.threatbook.com/report/file/181ba66169e0a6d688f7d73e659...
SHA256:
181ba66169e0a6d688f7d73e6598f9c3f8aaedee29e8acd38f80fdea1c9e249f
MD5:
56f1da726769e349fe5c321313640976
SHA1:
02aeb9c1e337a104e225d7e7570b18e80ed04ee7钓鱼最简单的方法就是网页复制下来修改后发给受害者窃取账密。
可惜出师未捷身先死~~~
告警报检测到恶意文件,根据告警信息找到了用户。
用户收到电子邮件并且还联系了用户。
拿到文件就以HTML。页面模仿了“某某发票平台”官网的登录模块,包括通过Base64内联编码的Logo图像、底部版权声明及隐私政策链接布局,甚至连页面标题和浏览器图标都指向了真实的官网CDN资源。