GandCrab勒索软件和Ursnif病毒通过MS Word宏传播

乌尔斯尼夫数据窃取特洛伊木马及其应用甘德克拉布野生勒索软件，而第二种只是用恶意软件感染受害者。

虽然这两个恶意软件活动似乎都是两个独立的网络犯罪集团的作品，但我们发现它们有许多相似之处。这两种攻击都是从包含嵌入恶意宏的附加Microsoft Word文档的钓鱼电子邮件开始的，然后使用Powershell交付无文件恶意软件。

Ursnif是一种数据窃取恶意软件，通常会从受损计算机窃取敏感信息，具有获取银行凭证、浏览活动、收集击键、系统和流程信息以及部署额外后门的能力。

GandCrab是一种广泛存在的勒索软件威胁，与市场上的其他勒索软件一样，它对受感染系统上的文件进行加密，并坚持要求受害者以数字货币支付赎金以解锁这些文件。它的开发商主要以DASH的形式要求付款，而DASH的追踪更为复杂。

MS Docs+VBS宏=Ursnif和CRAB感染

炭黑公司（Carbon Black）的安全研究人员发现了第一个传播两种恶意软件威胁的恶意软件活动，他们在野外找到了大约180种MS Word文档变体，这些文档的目标用户是具有恶意VBS宏的用户。

如果成功执行，恶意VBS宏将运行PowerShell脚本，然后使用一系列技术在目标系统上下载并执行Ursnif和GandCrab。

PowerShell脚本以base64编码，执行感染的下一阶段，该阶段负责下载主要恶意软件有效载荷以危害系统。

第一个有效负载是PowerShell one liner，它评估目标系统的体系结构，然后相应地从Pastebin网站下载额外的有效负载，该负载在内存中执行，这使得传统的反病毒技术很难检测其活动。

“这个PowerShell脚本是Empire Invoke PSInject模块的一个版本，修改很少，”炭黑研究人员说。“该脚本将获取一个经过base64编码的嵌入式PE[可移植可执行文件]文件，并将其注入当前的PowerShell进程。”

最后的有效载荷然后在受害者的系统上安装一个GandCrab勒索软件的变体，将他们锁定在系统之外，直到他们以数字货币支付勒索。

同时，该恶意软件还从远程服务器下载一个Ursnif可执行文件，一旦执行，它将对系统进行指纹识别，监控网络浏览器流量以收集数据，然后将其发送给攻击者的命令和控制（C&C）服务器。

“然而，贝文德布雷克[.]上有许多Ursnif变种在这场运动中。炭黑能够发现大约120种不同的Ursnif变体，它们来自iscondisth[.]com和bevendbrec[.]研究人员说。

MS Docs+VBS macros=URSNF数据窃取恶意软件

类似地，Cisco Talos安全研究人员发现的第二次恶意软件活动利用包含恶意VBA宏的Microsoft Word文档来交付同一恶意软件的另一个变体。
这种恶意软件攻击还分多个阶段危害目标系统，从钓鱼电子邮件到运行恶意PowerShell命令以获得无文件持久性，然后下载和安装URSNF数据窃取计算机病毒。

Talos研究人员解释说：“PowerShell命令分为三个部分。第一部分创建一个函数，稍后用于解码base64编码的PowerShell。第二部分创建一个包含恶意DLL的字节数组。”。

“第三部分执行在第一部分中创建的base64解码函数，用base64编码的字符串作为该函数的参数。返回的解码PowerShell随后由速记调用表达式（iex）函数执行。”

一旦在受害者计算机上执行，该恶意软件会从系统收集信息，将其转换为CAB文件格式，然后通过HTTPS安全连接将其发送到其命令和控制服务器。

Talos的研究人员在他们的博客文章中发布了一份泄露指标（IOC）列表，以及被泄露机器上丢弃的有效负载文件名的名称，可以帮助您在Ursnif恶意软件感染您的网络之前检测并阻止它。