伪装成京东金融候选人登记表的钓鱼样本详细分析

文章预览

安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 原文首发出处： https://xz.aliyun.com/t/15617 先知社区 作者：熊猫正正 最近笔者在威胁情报平台上发现一例有趣的CS钓鱼样本，伪装成京东金融候选人登记表信息，自动化沙箱没有跑出该CS样本的C2配置信息，对该样本进行了详细分析，分享出来供大家参考学习。 详细分析 1.样本解压缩之后，如下所示： 2.LNK文件命令行参数信息，如下所示： 3.通过白+黑的方式加载恶意模块，如上所示： 4.恶意模块检测系统相关信息，包含用户名、主机名、磁盘空间、桌面背景图片等，如下所示： 5.在%temp%目录下生成欺骗docx文档，名字为随机字符+固定字符拼接而成，如下所示： 6.解码硬编码在程序中的数据，然后将解码的数据写入文档，生成的欺骗的文档，如下所示： 7.通过cmd命令行打开欺骗文档，如下 ………………………………