G DATA CyberDefense 的安全分析师警告称,当前正在掀起一波利用远程访问木马 (RAT) NetWire 的攻击浪潮。为此,攻击者发送带有受感染的 Excel 文档的垃圾邮件。一旦进入系统,网络犯罪分子就会获得计算机的管理控制权。攻击者随后就可以访问个人数据并读取密码。 G DATA 客户受到保护,免受攻击。
近期远程访问木马
(RAT)NetWire 十分活跃,并对 Windows 系统进行攻击。该恶意软件在网络犯罪领域广泛存在并且已经活跃了一段时间。
“用户在收到带有 Excel 文档附件的电子邮件时应格外 土耳其电报数据 小心。目前,犯罪分子正在使用此种方式传播远程访问木马NetWire。打开文件后,PowerShell 被激活并通过 paste.ee 加载两个文件。其中一个文件是.NET DLL,它通过进程注入执行第二个文件 NetWire。然后,犯罪分子可以使用 NetWire 远程控制和监视受感染的计算机。如果用户安装了防病毒软件并定期安装最新更新,他们就能很好地免受 NetWire 活动的侵害。我们的 Beast 和 DeepRay 技术可以检测恶意软件。如果计算机上不需要 PowerShell,则应将其停用,”G DATA CyberDefense 病毒分析师 Karsten Hahn 解释道。
RAT 的作用如下
利用 NetWire 之类的远程访问木马 (RAT),网络犯罪 用真正能产生流量的 分子可以完全控制和管理受感染的 Windows 计算机。用户没有注意到这一点,因此 RAT 可以在不被察觉的情况下执行其恶意功能。
例如攻击者监视个人
信息和密码或删除文件。这样获取的信息(例如,安圭拉讯息 在线银行账户或商店的访问权限)可以在特殊的地下市场上出售以牟取暴利。
Powershell 脚本用于初始加载 NetWire。 Powershell 是Microsoft Windows的一部分,许多 IT 部门使用它来自动化某些流程。因此,Powershell 本身是一个合法的应用程序。除非系统特别需要 Powershell,否则应该将其停用——可以在 Windows 功能中找到相应的选项。