关于巴西网络犯罪分子使用LOLBaS和CMD脚本窃取银行账户的动态情报

一、基本内容

最近，一名未知身份的网络犯罪威胁行为者以使用西班牙语和葡萄牙语的用户为目标，破坏墨西哥、秘鲁和葡萄牙等地的网上银行账户。该攻击链主要利用社会工程学技术，利用葡萄牙和西班牙用户的电子邮件，发送带有欺骗性的信息，诱骗受害者点击恶意附件，从而感染其系统并获取未经授权的系统访问权限。

这些电子邮件都包含一个HTML附件，其中包含模糊代码。该文件以RAR存档文件的形式从远程服务器获取下一阶段的有效载荷，并将其地理隔离到特定的国家或地区。其中包括一个CMD文件，该文件又包含一个Autolt脚本，该脚本旨在下载Visual Basic脚本，以窃取Microsoft Outlook和浏览器密码数据。

二、相关发声情况

RIM公司的研究与情报团队在6月初发布的报告中指出，网络安全威胁行为者采用了LOLBaSD和基于CMD的脚本等攻击技术，利用系统内已存在的合法的二进制文件和脚本来实施恶意活动。这些脚本能够避免传统安全措施的检测，利用内置的Windows工具和命令，绕过安全系统，达到网络攻击的目的。据RIM公司的报告显示，该网络安全威胁行为者在墨西哥地区的配置中更加关注在线商业账户，因为这些账户有更好的现金流。

三、分析研判

BaS脚本危害：

BaS脚本是一种自动化脚本，可以用于自动化执行某些任务，例如自动化测试、自动化部署等。如果使用不当，可能会造成以下三种危害：

1.安全风险：BaS脚本可以自动化执行操作，如果不加以限制，可能会对系统安全造成威胁，例如暴力破解密码、操纵网络等。

2.数据丢失：BaS脚本可能会误操作导致数据丢失，例如删除重要文件、清空数据库等。

3.违反法律法规：如果使用BaS脚本进行违法操作，例如网络攻击、数据窃取等，可能会违反法律法规，需要承担法律责任。

CMD脚本危害：

CMD脚本是Windows操作系统中的一种批处理脚本，可以用于自动化执行一些操作，例如文件复制、目录创建等。然而，如果使用不当，CMD脚本也可能会造成以下危害：

1.安全风险：如果CMD脚本包含恶意代码，可能会对系统安全造成威胁，例如病毒、木马等。

2.数据丢失：CMD脚本可能会误操作导致数据丢失，例如删除重要文件、清空文件夹等。

3.系统崩溃：如果CMD脚本中包含错误的代码，可能会导致系统崩溃，影响系统稳定性。

4.违反法律法规：如果使用CMD脚本进行违法操作，例如黑客攻击、盗取个人信息等，可能会违反相关法律法规，导致法律责任。

四、应对策略

针对脚本可能带来的安全风险和数据丢失等问题，建议以下应对策略：

1.限制权限：对于执行脚本的用户，应该给予最小化的权限，以避免脚本执行过程中对系统造成的损害。

2.备份数据：在执行脚本前，应该备份重要数据，以避免误操作导致数据丢失。

3.安全审查：在运行脚本之前，应该对脚本进行安全审查，以确保脚本不包含恶意代码，避免安全威胁。

4.定期更新：脚本应该定期更新，以确保脚本的正确性和安全性，避免因为漏洞等原因导致安全问题。

5.错误处理：在编写脚本时，应该增加错误处理的代码，以避免因为错误的代码导致系统崩溃，影响系统稳定性。

6.日志监控：对于执行脚本的操作，应该记录日志并进行监控，以及时发现异常情况。

总之，对于脚本的应对策略，需要综合考虑安全、稳定和可靠性等因素，确保脚本的正常运行和系统的安全性