研究人员警告针对SVCReady恶意软件受害者的垃圾邮件活动

据观察，一波新的网络钓鱼活动正在传播一种以前记录在案的恶意软件，称为SVCReady公司。

惠普威胁分析师Patrick Schläpfer在一份技术报告中表示：“该恶意软件以其不同寻常的方式，使用隐藏在Microsoft Office文档属性中的外壳代码，传送到目标PC上，这一点值得注意。”

SVCReady is said to be in its early stage of development, with the authors iteratively updating the malware several times last month. First signs of activity date back to April 22, 2022.

感染链涉及通过包含VBA宏的电子邮件向目标发送Microsoft Word文档附件，以激活恶意有效负载的部署。

但本次活动的不同之处在于，该宏没有使用PowerShell或MSHTA从远程服务器检索下一阶段的可执行文件，而是运行存储在文档属性中的外壳代码，随后会删除SVCREAY恶意软件。

除了通过计划任务在受感染主机上实现持久性之外，该恶意网络安全软件还能够收集系统信息、捕获屏幕截图、运行shell命令以及下载和执行任意文件。

这还包括在4月26日，在机器最初与SVCReady发生冲突后，在一个实例中交付RedLine Stealer作为后续有效载荷。

惠普表示，他们发现了诱饵文件的文件名与用于分发SVCReady的文件中包含的图像以及另一个名为TA551（又名Hive0106或Shathak）的组织所雇佣的文件名之间存在重叠，但目前尚不清楚是否是同一威胁行为人参与了最新的活动。

Schläpfer指出：“我们可能看到两个使用相同工具的不同攻击者留下的工件。然而，我们的发现表明，TA551和SVCReady活动背后的参与者正在使用类似的模板和潜在的文档生成器。”