警惕使用 Word 文件缩短 URL 来安装 Remcos RAT

近期，安全研究人员发现了一种分发 Remcos 远程访问木马 (RAT) 的新方法。这种恶意软件可以让攻击者完全控制受感染的系统，并通过包含缩短URL 的恶意 Word 文档进行传播。这些URL会导致下载Remcos RAT，该木马可用于数据窃取、间谍活动以及其他恶意活动。理解感染链条并识别此类攻击的迹象对于减少这些威胁至关重要。感染链分析这种攻击通常始于一封包含.docx附件的电子邮件，旨在欺骗接收者。在检查该文件时，发现其中包含一个缩短的URL，显示出恶意意图。该URL会重定向至下载以RTF格式存在的Equation Editor恶意软件的变种。通过利用Equation Editor的漏洞（CVE-2017-11882），这种恶意软件试图下载一个由一长串连接的变量和字符串组成的VB脚本，可能经过编码或混淆处理。这些字符串形成一个编码的有效负载，可以稍后在脚本中解码或执行。该VB脚本解混 ………………………………