我们可以看到在野利用的RTF样本在VT上的检出率为31/59。
而最新流行的DOCX版本的检出率仅为5/59。
最新发现的“乌龙”样本
上周我们在外界发现了多例标注为CVE-2017-8570的office幻灯片文档恶意样本,同时有安全厂商宣称第一时间捕获了最新的office漏洞,但经过分析我们发现该样本仍然是CVE-2017-0199漏洞野外利用的第二个PPSX版本,通过对一例典型样本进行分析,我们发现样本使用的payload是Loki Bot窃密类型的木马病毒,是一起有针对性的窃密攻击。
该样本使用powershell下载执行shell.exe
下载地址为hxxp://192.166.218.230:3550/ratman.exe
Shell.exe 是一个混淆的.NET程序
