Proofpoint安全研究專家提醒，一種叫做“八月”(August)的新型竊取信息惡意軟件正利用Windows powershell腳本進行無文件感染并通過Word文檔傳播。

這個惡意軟件是由高度個性化的TA530為載體來傳播的，研究者表示，“八月”傳播的目標是零售商的客服、管理人員，竊取目標計算機當中的認證信息與敏感文件。

為了保證感染成功，攻擊者會在郵件標題中會提到目標公司網站購物問題的參考信息。這些郵件是針對那些可以幫助解決此類問題的員工發出的，于是這些員工有很大可能性會打開內含問題描述的附件去幫助客戶解決問題。

然而，一旦收件人打開這個文檔，他們就可能會啟用宏，并開啟powershell命令在本地下載安裝‘八月’。此惡意數據是從作為遠程網站的powershell字節數組與通過XOR操作的幾行反混淆代碼下載的。

安全研究專家提醒本次傳播中使用的宏指令與ursnif銀行木馬傳播中用的很相似。他們都是意圖添加沙箱逃逸技術并通過執行Maxmind,task counts,task names和recent file counts來進行傳播。

‘八月’信息盜取軟件是作者用.net語言編寫并使用Confuser混淆完成的。通過對一個具體樣本的源代碼檢查，Proofpoint研究專家發現它可以竊取或上載有具體擴展名的文檔到命令控制服務器，還可以竊取.rdp、wallet.dat文件及包括Electrum，Bither在內的加密數字貨幣錢包。除此之外，還能夠確認類似Wireshark，Fiddler等安全工具是否裝載在本地。

除此之外，這個惡意軟件還能從FTP應用（例如SmartFTP,FileZilla,TotalCommander,WinSCP,CoreFTP）和通訊應用（Pidgin,PSI,LiveMessenger,及其他）中獲取認證信息；能夠從Firefox,Chrome,Thunderbird,Outlook中收集cookies和密碼；能夠通過硬件ID、OS name,victim’s username與命令控制服務器實現交互；能夠用base64對網絡數據進行加密，字符置換，添加隨機密鑰（使用加密的用戶代理字段傳遞給服務器）還能修改字符串。

“‘八月’可以在多種情況下大范圍竊取認證信息和文件，這種惡意軟件本身經過混淆編碼，其用來傳播的宏指令使用了一系列逃逸技術和一種無文件方式通過Powershell來裝載。所有的這些因素增加了從網關和端口探測這一軟件的難度。” Poofpoint專家表示。

鑒于網絡罪犯使用日益復雜和高度個人化的郵件作為誘餌，企業應使用郵件網關過濾那些內含沙箱逃逸技術在內的宏指令來進行防護，同時應該考慮向員工進行培訓：對那些看似正常實則充滿陷阱的郵件保持警惕。