Phorpiex 惡意腳本卷土重來(lái)，成為 LockBit 3.0 勒索木馬傳播載體

IT之家 5 月 5 日消息，安全公司 Cybereason 發(fā)文透露“老牌”惡意腳本 Phorpiex 近日又卷土重來(lái)，成為傳播 LockBit 3.0 勒索木馬的載體，感染了相應(yīng)腳本的設(shè)備會(huì)自動(dòng)下載運(yùn)行 LockBit 木馬，整個(gè)攻擊流程高度自動(dòng)化，無(wú)需黑客額外遠(yuǎn)程操作。

據(jù)悉，本次安全公司曝光的 Phorpiex 腳本主要以釣魚郵件形式傳播，相應(yīng)郵件附帶了有隱含腳本的 ZIP 壓縮包，用戶雙擊運(yùn)行壓縮包中的 .SCR 文件便會(huì)啟動(dòng)腳本，相應(yīng)腳本一經(jīng)啟動(dòng)，將連接黑客架設(shè)的（C2）服務(wù)器，下載名為 lbbb.exe 的勒索木馬。在下載前，腳本會(huì)先清除受害者設(shè)備上的 URL 緩存記錄，以保證后續(xù)重新下載不受本地緩存干擾，隨后才進(jìn)行一系列勒索木馬部署過(guò)程。

為隱藏真實(shí)行為，相應(yīng)腳本會(huì)多對(duì)關(guān)鍵字符串進(jìn)行加密，并在運(yùn)行時(shí)動(dòng)態(tài)解析函數(shù)，只有在執(zhí)行階段才會(huì)解密并加載所需系統(tǒng)組件。所有下載文件都存放在系統(tǒng)臨時(shí)文件夾，并以隨機(jī)文件名命名，以規(guī)避特征比對(duì)安全軟件[IT江湖]掃描，在惡意木馬成功部署后，相應(yīng)腳本會(huì)刪除來(lái)源痕跡文件，徹底抹去可供追蹤的線索。

回顧這一 Phorpiex 腳本，該腳本于 2010 年首次出現(xiàn)，活躍于各種網(wǎng)絡(luò)攻擊場(chǎng)合，最早相應(yīng)腳本主要是在受害者電腦[IT江湖]上挖數(shù)字貨幣，近年來(lái)則是變身為其他惡意木馬的載體，用來(lái)自動(dòng)化部署各種惡意內(nèi)容。

安全公司認(rèn)為，Phorpiex 具備高度模塊化設(shè)計(jì)，憑借自我復(fù)制、自動(dòng)運(yùn)行和自動(dòng)清理痕跡特性，成為各路黑客常用的自動(dòng)化攻擊腳本。

而在 LockBit 方面，相應(yīng)木馬 / 黑客團(tuán)隊(duì)最初于 2019 年出現(xiàn)，主打“勒索即服務(wù)（IT之家注：Ransomware-as-a-Service）”模式，對(duì)全球多地基礎(chǔ)設(shè)施機(jī)構(gòu)進(jìn)行無(wú)差別攻擊以索要贖金，盡管該組織在去年初已被多國(guó)執(zhí)法機(jī)構(gòu)聯(lián)手打擊，但仍有一小撮殘余黑客尚存，本次相應(yīng)黑客借助 Phorpiex 傳播 LockBit 3.0，也再次印證了其卷土重來(lái)的勢(shì)頭。

相關(guān)閱讀：

《勒索軟件[IT江湖] LockBit 長(zhǎng)期開發(fā)人員 Rostislav Panev 已被引渡至美國(guó)》

《美國(guó) FBI 查封“LockBit 關(guān)聯(lián)”黑客組織 Dispossessor 基礎(chǔ)設(shè)施》