值得留意的是,虽然骇客对多家公司发动攻击,但他们似乎使用几乎一模一样的钓鱼信,甚至连收信人都相同。研究人员提及,攻击者在签名档的文字及电话号码,与内文的字体及颜色有所不同,他们认为这些文字很有可能从其他地方剪贴而来。
针对钓鱼信挟带的恶意附件Excel档,攻击者先是利用RCE漏洞CVE-2017-0199,触发埋在试算表的恶意连结,自动下载另一个恶意档案并开启。
攻击者下载的档案大致分成2种,其中一种是Word档案,此时攻击者会触发Office方程式编辑器的RCE漏洞CVE 2017-11882执行Shell Code,然后借由特定API下载VBS档案,执行AndeLoader。
而另一种则是HTML应用程式档案(HTA),该档案内含经过演算法处理的VBS程式码,一旦执行,电脑就会解密VBS并执行PowerShell程式码,下载与AndeLoader有关的VBS档案。附带一提的是,攻击者为了扰乱研究人员分析,他们在VBS档的符号及参数当中,加入大量空白。
但无论是那一种攻击链,最终都是透过AndeLoader载入SmokeLoader,并载入对应的外挂程式窃取电脑的各式帐密资料。研究人员总共发现有9款外挂程式,可供攻击者从浏览器挖掘帐密资料、自动填写的内容,也可从Outlook和Thunderbird找寻特定的信件资料,此外,这些外挂也可从FileZilla、WinSCP收集帐密资料。