新的 SVCReady 通过 Malspam 活动传播
惠普威胁研究部门的安全专家发布了他们对一种名为 SVCReady 的新型恶意软件的发现。该恶意软件正在使用恶意垃圾邮件活动进行传播。
2022 年 4 月下旬首次发现 SVCReady。该恶意软件通过加载了在打开时执行的宏的恶意 MS Word 文档文件传播。但是,与大多数使用宏的恶意软件不同,SVCReady 不使用 MSHTA 或 PowerShell 命令从 Internet 上获取其有效负载。相反,新恶意软件使用了另一个巧妙的技巧——执行包含在文件属性字段中的 shellcode。
SVCReady 在临时文件夹中放置一个 DLL 文件。之后,恶意软件将系统合法的rundll32文件复制到同一目录并重命名。然后使用rundll32的重命名副本来执行恶意DLL文件。
该恶意软件似乎正在积极开发中,因为它自 4 月下旬以来已多次更新,并且似乎具有持久性机制的成分,但它有缺陷,实际上并没有在当前状态下实现持久性。
SVCReady 已被用作初始负载,以在受感染的系统上传递其他恶意软件,包括 RedLine 信息窃取恶意软件。