黑客分發(fā)惡意“掃雷”游戲，向金融 / 保險機(jī)構(gòu)網(wǎng)絡(luò)釣魚

IT之家 5 月 28 日消息，你現(xiàn)在還會玩掃雷游戲嗎？計算機(jī)安全事件響應(yīng)小組（CSIRT-NBU）和烏克蘭計算機(jī)應(yīng)急響應(yīng)小組（CERT-UA）追蹤調(diào)查一起網(wǎng)絡(luò)攻擊，黑客利用 Python 版掃雷游戲代碼，已攻擊美國和歐洲的金融和保險機(jī)構(gòu)。

兩家安全機(jī)構(gòu)表示該惡意游戲由 UAC-0188（FromRussiaWithLove）黑客組織創(chuàng)建，頭目是一名俄羅斯黑客。

黑客利用掃雷代碼來隱藏 Python 代碼，用戶一旦感染就會安裝 SuperOps RMM 工具，從而讓其獲得設(shè)備的控制權(quán)限。

根據(jù)公告內(nèi)容，黑客使用偽裝成醫(yī)療中心，使用 support@patient-docs-mail.com 分發(fā)電子郵件，標(biāo)題為“醫(yī)療文件個人網(wǎng)絡(luò)檔案”。IT之家附上相關(guān)圖片如下：

在這封電子郵件中，收件人可以找到一個 Dropbox 鏈接，該鏈接會指向一個 33 MB 的 .SCR 文件，其中包含來自 Python 克隆版掃雷游戲的代碼和一個從 anotepad.com 下載其他惡意軟件的惡意代碼。

Python 版掃雷游戲代碼中包含惡意代碼，其中 create_license_ver 函數(shù)會解碼并執(zhí)行惡意軟件。這一過程可將惡意代碼從安全系統(tǒng)中隱藏起來。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。