网上查询酒店入住记录(怎么通过身份证查看宾馆入住记录)

35小吃技术网 推荐阅读 2023年06月05日07时24分12秒 244 0

网上查询酒店入住记录(怎么通过身份证查看宾馆入住记录)最近,360安全中心发现了一波疑似针对北美酒店业的网络钓鱼电子邮件攻击。攻击者通过网络钓鱼电子邮件将带有恶意代码的附件发送给了目标酒店的财务人员,声称该酒店拖欠了服务费用,旨在诱使收件人打开附件中的恶意文件。当收件人打开附件中的恶意文件时,恶意代

网上查询酒店入住记录(怎么通过身份证查看宾馆入住记录)

最近,360安全中心发现了一波疑似针对北美酒店业的网络钓鱼电子邮件攻击。攻击者通过网络钓鱼电子邮件将带有恶意代码的附件发送给了目标酒店的财务人员,声称该酒店拖欠了服务费用,旨在诱使收件人打开附件中的恶意文件。

当收件人打开附件中的恶意文件时,恶意代码将被激活,然后下载并执行NetWiredRC远控木马。NetWiredRC的功能十分强大,能够实现注册表的读写、文件读写、屏幕截图、键盘记录、模拟键盘/鼠标点击,以及窃取登录凭证等各种各样的恶意功能。

技术细网节

如上所述,攻击者谎称目标酒店的拖欠了某些服务的费用,并提醒收件人查看附件中的账单,以诱使收件人打开附件:

网上查询酒店入住记录(怎么通过身份证查看宾馆入住记录)-第1张图片


钓鱼电子邮件的附件是一个ZIP压缩文件,恶意代码就包含在解压后的一个快捷方式lnk文件中。

网上查询酒店入住记录(怎么通过身份证查看宾馆入住记录)-第2张图片


一个PowerShell脚本嵌入lnk文件的“目标”栏中,负责从“网http[:]//bit.do/e2VHR”恶意组件。

网上查询酒店入住记录(怎么通过身份证查看宾馆入住记录)-第3张图片


http[:]//bit.do/e2VHR是一个短网址,其真正的下载地址是http[:]//13.67.107.73:80/amtq/out-441441271.ps1:

网上查询酒店入住记录(怎么通过身份证查看宾馆入住记录)-第4张图片


Out-441441271.ps1被用作一个释放器,在执行后将释放.NET木马psd.exe:

网上查询酒店入住记录(怎么通过身份证查看宾馆入住记录)-第5张图片


psd.exe经过了层层混淆:

网上查询酒店入住记录(怎么通过身份证查看宾馆入住记录)-第6张图片


去混淆后,可以看出它的核心代码是解密并执行QMLBeOtNWa.exe:

网上查询酒店入住记录(怎么通过身份证查看宾馆入住记录)-第7张图片


QMLBeOtNWa.exe将在启动目录中释放一个快捷方式,以实现病毒自启动:

网上查询酒店入住记录(怎么通过身份证查看宾馆入住记录)-第8张图片


然后检查NetWiredRC是否已经存在,如果不存在,则解密并执行NetWiredRC:

网上查询酒店入住记录(怎么通过身份证查看宾馆入住记录)-第9张图片


如上所述,NetWiredRC是一种功能强大的远控木马,它可以执行以下病毒功能:

网上查询酒店入住记录(怎么通过身份证查看宾馆入住记录)-第10张图片


解密远程控制的在线地址:

网上查询酒店入住记录(怎么通过身份证查看宾馆入住记录)-第11张图片


获取磁盘信息:

网上查询酒店入住记录(怎么通过身份证查看宾馆入住记录)-第12张图片


获取截图:

网上查询酒店入住记录(怎么通过身份证查看宾馆入住记录)-第13张图片


按键记录:

网上查询酒店入住记录(怎么通过身份证查看宾馆入住记录)-第14张图片


模拟鼠标点击:

网上查询酒店入住记录(怎么通过身份证查看宾馆入住记录)-第15张图片


获取LSA登录会话信息:

网上查询酒店入住记录(怎么通过身份证查看宾馆入住记录)-第16张图片


窃取存储在IE、Como网de Dragon、Yandex、Mozilla Firefox、Google Chrome、Chromium、Opera浏览器和OutLook、ThundBird、SeaMonkey以及其他电子邮箱客户端中的登录凭证。以Chrome为例,代码逻辑如下: