新的 SVCReady 通過 Malspam 活動傳播
惠普威脅研究部門的安全專家發布了他們對一種名為 SVCReady 的新型惡意軟件的發現。該惡意軟件正在使用惡意垃圾郵件活動進行傳播。
2022 年 4 月下旬首次發現 SVCReady。該惡意軟件通過加載了在打開時執行的宏的惡意 MS Word 文檔文件傳播。但是,與大多數使用宏的惡意軟件不同,SVCReady 不使用 MSHTA 或 PowerShell 命令從 Internet 上獲取其有效負載。相反,新惡意軟件使用了另一個巧妙的技巧——執行包含在文件屬性字段中的 shellcode。
SVCReady 在臨時文件夾中放置一個 DLL 文件。之後,惡意軟件將系統合法的rundll32文件複製到同一目錄並重命名。然後使用rundll32的重命名副本來執行惡意DLL文件。
該惡意軟件似乎正在積極開發中,因為它自 4 月下旬以來已多次更新,並且似乎具有持久性機制的成分,但它有缺陷,實際上並沒有在當前狀態下實現持久性。
SVCReady 已被用作初始負載,以在受感染的系統上傳遞其他惡意軟件,包括 RedLine 信息竊取惡意軟件。
June 8, 2022
