文章目录
[+]
据悉,该木马主要使用 VBA 宏的形式传播,黑客将相关宏文件打包为 Word Doc 文档,一旦不知情的受害者打开文档,受害者的计算机便会自动下载黑客设置的 PowerShell 脚本到受害电脑。
IT之家获悉,这些脚本通常是 u.ps1 或 bypass.ps1,主要用途是绕过 Windows 用户账户控制(IT之家注:UAC)防护机制,同时将受害者设备信息传输至黑客设置的机器人中。
安全公司提到,相关木马在启动过程中会进行一连串检查,如果检测到自身处于沙盒软件便不会于心,从而避免被安全公司检测。而在检测通过后,该木马会扫描用户设备上安装的数字货币钱包、Chrome / Firefox 浏览器、Discord / Skype 聊天应用收集用户信息,并使用 JSON 字符串形式将相关文件发送给黑客。
(图片来自网络侵删)
