思科Talos发现了一个凭证窃取木马,可从Chrome浏览器,Microsoft的Outlook和即时通讯程序中获取您的登录详细信息。
Switchzilla的安全研究部门表示,Masslogger trojan的最新变种通过网络钓鱼电子邮件发送,包含在使用.chm文件格式和.r00扩展名的多卷RAR归档文件中。
“CHM是一个编译的HTML文件,其中包含带有JavaScript代码的嵌入式HTML文件,以启动主动感染过程。感染的每个阶段代码都会被混淆,以避免使用简单的特征进行检测。打开“帮助”文件会将恶意软件部署到目标系统上。
思科Talos补充说:“ Masslogger是一个凭据窃取者和按键记录器,能够通过SMTP,FTP或HTTP协议泄露数据。对于前两个,不需要其他服务器端组件,而通过Masslogger控制面板Web应用程序完成HTTP上的渗透。”
容易受到这些行为影响的应用程序包括Discord,Microsoft Outlook,Mozilla Thunderbird,Firefox和基于Chromium的浏览器。该恶意软件还尝试将其自身排除在Windows Defender扫描之外。
感染的第二阶段是PowerShell脚本,这是一种常用技术,可从受感染的合法主机中以.jpg文件的形式加载到主Masslogger加载程序。从那里部署并执行加载程序。
Talos表示,Masslogger背后的攻击者主要针对南部和东欧国家:“基于发现的电子邮件和文件名的组合,我们认为它针对的是土耳其,拉脱维亚和意大利的组织。我们已经观察到类似的活动在之前的2020年9月开始发生过几次。在之前的活动中,该目标是针对保加利亚,立陶宛,匈牙利,爱沙尼亚,罗马尼亚和西班牙。
参考链接:https://www.theregister.com/2021/02/18/masslogger_cisco_talos_research/
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:theregister
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照