本月初资安业者SafeBreach一旦使用者下载并执行,电脑就下载PowerShell指令码,而该指令码会建立工作排程,其功能是执行一段内容经过Base64编码处理的指令码。
在工作排程执行并解开指令码,电脑又会从文字档案共用服务Pastebin下载另一个指令码,收集受害电脑的IP位址、系统资讯、处理程式列表、特定资料夹档案内容、网路卡,以及已安装更新档案等资讯,打包成ZIP档传送到FTP伺服器,以便攻击者进一步运用。
对此,趋势科技提醒资安研究人员,若要研究概念验证程式码,应该要从情报最原始揭露的来源取得相关资料,而非透过分叉的储存库。这些来路不明的GitHub之所以会藏污纳垢,就是攻击者发现有些资安人员并未仔细检查这类情报来源是否为第一手分享。