法国企业员工最近收到一批看似正常的法语简历邮件,一打开却是场精心设计的灾难。Securonix研究团队把这场攻击命名为FAUX#ELEVATE,核心武器就是一份伪装成简历的VBScript文件。
攻击者通过钓鱼邮件投递这份文件。文件大小足足9.7MB,里面塞了224471行代码,可真正能跑的只有266行,其余全是随机英语句子的垃圾注释,用来干扰沙箱检测。双击后,屏幕先弹出一个假的法语错误提示,告诉你“文件损坏”,很多人就信了。
实际后台动作快得很。脚本先用WMI检查是否加入域,只有企业电脑才往下走,家用机器直接放过。它会疯狂循环请求管理员权限,直到用户点“是”。拿到高权限后,瞬间干三件事:把C到I盘全加进微软Defender排除列表,改注册表关掉UAC,然后把自己删掉。
接下来从Dropbox拉两个7z压缩包,一个叫gmail2.7z,装着偷数据和挖矿工具;另一个叫gmail_ma.7z,负责留后门和清理痕迹。其中最狠的是ChromElevator组件,能绕过Chromium浏览器的app-bound encryption,直接掏出保存的密码和cookie。
其他组件也分工明确。mozilla.vbs专门偷Firefox资料,walls.vbs把桌面文件全打包走,mservice.exe则是XMRig矿工,从一个被攻陷的摩洛哥WordPress站点拉配置后就开始挖Monero。攻击者还用了一个合法的WinRing0x64.sys内核驱动,把CPU性能拉满。
偷到的浏览器数据通过mail.ru的两个账号发出去,收件人是攻击者自己的duck.com邮箱。整个感染链从VBS运行到数据外传,只花大约25秒。清理阶段也很彻底,只留矿工和一个叫RuntimeHost.exe的后门继续跑,后者还会改防火墙规则定期跟C2通信。
这场攻击把合法服务用得炉火纯青:Dropbox存载荷,摩洛哥WordPress当C2配置服务器,mail.ru走SMTP外传。典型的living-off-the-land打法,让传统防御很难抓到明显痕迹。
企业安全团队现在得面对一个新现实:攻击者不再追求粗暴入侵,而是用假简历这种低调方式,精准锁定域控环境,偷凭证、挖矿两不误。法语区企业尤其要警惕,任何不明来源的简历附件都别轻易点开,哪怕它看起来再专业。
眼下加密市场波动不小,BTC现报$69,559(24h -1.46%),ETH现报$2,129(24h -0.30%)。门罗币作为隐私币,本来就适合这种隐蔽挖矿,攻击者显然算得很清楚,每台被控的企业机器都能持续产出价值。
类似手法未来只会更多。简历钓鱼门槛低、迷惑性强,叠加多阶段工具链和快速清理,防御端必须把用户教育、邮件沙箱、行为检测三管齐下才行。否则下一次中招的,可能就是你公司里那台常年开着的办公电脑。