思科Talos發(fā)現(xiàn)了一個憑證竊取木馬，可從Chrome瀏覽器，Microsoft的Outlook和即時通訊程序中獲取您的登錄詳細(xì)信息。

Switchzilla的安全研究部門表示，Masslogger trojan的最新變種通過網(wǎng)絡(luò)釣魚電子郵件發(fā)送，包含在使用.chm文件格式和.r00擴(kuò)展名的多卷RAR歸檔文件中。

“CHM是一個編譯的HTML文件，其中包含帶有JavaScript代碼的嵌入式HTML文件，以啟動主動感染過程。感染的每個階段代碼都會被混淆，以避免使用簡單的特征進(jìn)行檢測。打開“幫助”文件會將惡意軟件部署到目標(biāo)系統(tǒng)上。

思科Talos補(bǔ)充說：“ Masslogger是一個憑據(jù)竊取者和按鍵記錄器，能夠通過SMTP，F(xiàn)TP或HTTP協(xié)議泄露數(shù)據(jù)。對于前兩個，不需要其他服務(wù)器端組件，而通過Masslogger控制面板Web應(yīng)用程序完成HTTP上的滲透。”

容易受到這些行為影響的應(yīng)用程序包括Discord，Microsoft Outlook，Mozilla Thunderbird，F(xiàn)irefox和基于Chromium的瀏覽器。該惡意軟件還嘗試將其自身排除在Windows Defender掃描之外。

感染的第二階段是PowerShell腳本，這是一種常用技術(shù)，可從受感染的合法主機(jī)中以.jpg文件的形式加載到主Masslogger加載程序。從那里部署并執(zhí)行加載程序。

Talos表示，Masslogger背后的攻擊者主要針對南部和東歐國家：“基于發(fā)現(xiàn)的電子郵件和文件名的組合，我們認(rèn)為它針對的是土耳其，拉脫維亞和意大利的組織。我們已經(jīng)觀察到類似的活動在之前的2020年9月開始發(fā)生過幾次。在之前的活動中，該目標(biāo)是針對保加利亞，立陶宛，匈牙利，愛沙尼亞，羅馬尼亞和西班牙。

參考鏈接：https://www.theregister.com/2021/02/18/masslogger_cisco_talos_research/

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:theregister

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明