据BleepingComputer报导,中东地区的许多组织正遭受利用信息窃取和网络入侵的恶意软件的攻击,这些恶意软件伪装成Palo Alto的GlobalProtect VPN安全解决方案。
攻击者通过发送钓鱼邮件,引诱目标安装这个虚假的GlobalProtect工具。根据Trend Micro的报告,当这个伪造的工具执行时,会在背景中触发恶意软件的加载,并在安装过程中激活。报告指出,恶意软件在主要代码执行前也能监控机器的沙箱操作,并最终将机器详情传输到一个由攻击者控制的指挥和控制伺服器。这个伺服器使用了一个包含“sharjahconnect”字串的URL,假装成阿联酋沙迦市办公室的合法VPN门户,以掩盖其恶意活动。
在这次攻击中,研究人员还发现,恶意软件能够执行命令,这些命令包括启动PowerShell脚本执行、档案的读写、档案的上传和下载,以及设置操作暂停时间。这些功能使得攻击者能够更有效地渗透目标系统并获取机密信息。
