HackerNews 编译,转载请注明出处:
Fortinet FortiGuard Labs 报告称,一种新的 Snake Keylogger 恶意软件变种正在活跃攻击中国、土耳其、印度尼西亚和西班牙的 Windows 用户。该变种自今年年初以来已导致全球超过 2.8 亿次感染尝试被阻止。
“Snake Keylogger 通常通过包含恶意附件或链接的网络钓鱼邮件传播,旨在通过记录键盘输入、捕获凭据和监控剪贴板来从流行的网络浏览器(如 Chrome、Edge 和 Firefox)中窃取敏感信息,”安全研究员 Kevin Su 表示。
该恶意软件的其他功能使其能够使用简单邮件传输协议(SMTP)和 Telegram 机器人将窃取的信息 exfiltrate 到攻击者控制的服务器,从而使威胁行为者能够访问窃取的凭据和其他敏感数据。
最新攻击的显著特点是利用 AutoIt 脚本语言来传递和执行主要负载。换句话说,包含恶意软件的可执行文件是一个 AutoIt 编译的二进制文件,从而使其能够绕过传统的检测机制。
“使用 AutoIt 不仅通过将负载嵌入编译后的脚本中使静态分析复杂化,还启用了模仿良性自动化工具的动态行为,”Su 补充道。
一旦启动,Snake Keylogger 会将自身的一个副本投放到 “%Local_AppData%\supergroup” 文件夹中的 “ageless.exe” 文件中。它还会在 Windows 启动文件夹中投放另一个名为 “ageless.vbs” 的文件,以便每次系统重启时,Visual Basic Script (VBS) 会自动启动恶意软件。
通过这种持久化机制,Snake Keylogger 能够在相关进程被终止后仍然保持对受感染系统的访问并继续其恶意活动。
攻击链的最后一步是将主要负载注入到合法的 .NET 进程(如 “regsvcs.exe”)中,使用一种称为进程空洞的技术,使恶意软件能够在受信任的进程中隐藏自身并绕过检测。
Snake Keylogger 还被发现记录键盘输入,并使用诸如 checkip.dyndns[.]org 之类的网站来检索受害者的 IP 地址和地理位置信息。
“为了捕获键盘输入,它利用 SetWindowsHookEx API,将第一个参数设置为 WH_KEYBOARD_LL(标志 13),这是一个低级别的键盘钩子,用于监控键盘输入,”Su 表示。“这种技术使恶意软件能够记录敏感输入,如银行凭据。”
与此同时,CloudSEK 详细描述了一项活动,该活动利用与教育机构相关的被攻陷基础设施来分发伪装成 PDF 文档的恶意 LNK 文件,最终部署 Lumma Stealer 恶意软件。
该活动 targeting 金融、医疗保健、技术和媒体等行业,是一个多阶段攻击序列,导致密码、浏览器数据和加密货币钱包被盗。
“该活动的主要感染向量是使用恶意 LNK(快捷方式)文件,这些文件被设计成看起来像合法的 PDF 文档,”安全研究员 Mayank Sahariya 表示,并补充说这些文件托管在一个 WebDAV 服务器上,不知情的访问者在访问网站后会被重定向到该服务器。
LNK 文件本身会执行一个 PowerShell 命令,连接到远程服务器并检索下一阶段恶意软件,一个经过混淆的 JavaScript 代码,其中包含另一个 PowerShell,从同一服务器下载 Lumma Stealer 并执行它。
最近几周,还观察到通过混淆的 JavaScript 文件分发 stealer 恶意软件,以从受感染的 Windows 系统中收集广泛的敏感数据,并将其 exfiltrate 到由攻击者操作的 Telegram 机器人。
“攻击从一个混淆的 JavaScript 文件开始,该文件从开源服务获取编码字符串以执行 PowerShell 脚本,”Cyfirma 表示。
“该脚本随后从 IP 地址和 URL 缩短器下载 JPG 图像和文本文件,两者都使用隐写技术嵌入了恶意 MZ DOS 可执行文件。一旦执行,这些负载会部署 stealer 恶意软件。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
