粉色纸飞机ssr

勒索软件组织 "Vice Society "推出了一款高级PowerShell脚本，用于从被入侵的网络中自动窃取数据。 该组织通常会窃取有价值的企业和客户数据，用于勒索受害者或出售给其他网络犯罪分子牟利。

新的数据外泄程序是完全自动化的，它利用 "离地生存 "的二进制文件和脚本来避免被安全软件检测到，确保其活动在勒索软件攻击的最后阶段之前不被发现。

2023年初，Palo Alto Networks 42部门发现了Vice Society勒索软件团伙使用的一种新的数据窃取工具。 该工具是在一次事件响应中发现的，当时从受害者的网络中恢复了一个名为 "w1.ps1 "的文件。

该脚本利用PowerShell自动执行数据外渗，由多个函数组成，包括Work()、Show()、CreateJobLocal()和fill()。 这些函数协同工作，识别潜在的外泄目录，处理目录组，最后通过HTTP POST请求向Vice Society的服务器外泄数据。

根据42号报告该脚本不需要任何参数，由脚本自己负责识别要从网络中复制的文件。 报告还指出，脚本会忽略大小小于10 KB的文件和没有文件扩展名的文件。

通过使用 "靠天吃饭 "的二进制文件和脚本，安全软件很难检测到脚本的活动，从而确保该团伙的活动在勒索软件攻击的最后阶段之前保持隐蔽性。

Vice Society用于自动数据窃取的新PowerShell脚本有一个主排除和包含列表，以确定要窃取哪些文件。 它排除了常见备份和系统文件夹中的文件，但目标文件夹包含超过433个多语言字符串，包括德语和英语。

由于使用复杂的工具，"邪恶社会 "对全球组织构成了重大威胁，使防御者难以阻止他们的攻击。