DarkTortilla恶意软件在钓鱼网站上活动

关键要点

• DarkTortilla恶意软件 被利用在伪装成Grammarly和Cisco等合法网站的钓鱼网站 上。
• 这种恶意软件自2015年以来活跃，主要用于提取其他恶意软件和远程访问木马（RAT）。
• 攻击者采用钓鱼网站 和错误拼写的域名来吸引防御能力有限的受害者。
• 可能是针对游戏玩家的，因为他们通常会关闭防病毒软件以提高游戏性能。

近期，CybleResearch报告发现了一种使用DarkTortilla恶意软件的活动，攻击者在钓鱼网站上投放该恶意软件，这些网站伪装成合法的Grammarly和Cisco网站。

在12月16日的一篇中，CybleResearch和情报实验室（CRIL）将DarkTortilla描述为一种复杂的基于.NET的恶意软件，自2015年以来一直处于活跃状态。研究人员表示，这种恶意软件以投放窃取器和远程访问木马（如AgentTesla、AsyncRAT和NanoCore）而闻名。

在夏季，Secureworks的安全研究人员曾发布一篇关于的博客，详细描述了它的行为。虽然Secureworks的研究人员表示DarkTortilla通过带有恶意附件的垃圾邮件来接触用户，但正是CRIL的研究人员发现使用钓鱼网站用于传播恶意软件的活动。

这次攻击背后的组织重新利用现有的恶意软件（相对廉价）并结合了一种被称为“饮水坑攻击”的攻击方式，Coalfire的副总裁Andrew Barratt表示。

Barratt解释道，这些“饮水坑”都旨在看起来像常见的网站，利用错误拼写的域名。这样可以吸引防御能力较弱的受害者，使得一种重复利用的老旧恶意软件在他们身上依然有效。

“当你查看恶意软件伪装成的一些名称时，其中之一是暴雪安装程序——这是游戏玩家常用的一个安装程序。”Barratt说，
“这个组织可能试图利用这一点来针对那些习惯关闭防病毒软件以提高游戏性能的游戏玩家。这种恶意软件的功能非常多样化，所以我敢打赌，背后的威胁行为者正在寻求建立一个初步访问的组合，然后在批发市场出售。”

了解更多关于恶意软件和网络安全的信息，可以参考以下链接： –
–