安基网 首页 资讯 安全报 查看内容

黑客运用木马程序Masslogger,窃取用户登录账号与密码

2021-2-21 13:33| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 最近两年,意图窃取用户计算机机密的木马程序攻击行动,已有数起,而且开始出现一些较为罕见的手法,来规避安全系统的侦测,例如,新版Agent Tesla木马程序通过Telegram的API向C&C中继站通信,进而将窃得的资料传回给黑客。而在2月初,思科披露的Masslogger攻击行动,黑客锁定土耳其、拉脱维亚,以及 ...

最近两年,意图窃取用户计算机机密的木马程序攻击行动,已有数起,而且开始出现一些较为罕见的手法,来规避安全系统的侦测,例如,新版Agent Tesla木马程序通过Telegram的API向C&C中继站通信,进而将窃得的资料传回给黑客。

而在2月初,思科披露的Masslogger攻击行动,黑客锁定土耳其、拉脱维亚,以及意大利等地的计算机下手,并通过Windows应用程序的说明文件文件(CHM)来启动攻击流程。思科也对于黑客在各攻击阶段所使用的工具,如钓鱼邮件、程序代码文件、恶意程序启动器(Loader)等,提供入侵指标(IoC),让网管人员能加以防范。

基本上,CHM文件被攻击者滥用的情况可说是时有耳闻,但在散播这种监听用户资料的木马程序上,黑客大多是在钓鱼邮件挟带Word文件或PDF文件,思科指出,这起攻击行动采用的CHM文件,是以往Masslogger木马程序从未出现过的手法。而监听程序以往可能是埋入在网站中,只有浏览该网站的用户会受到影响,再者,也有类似Masslogger渗透到用户计算机运行的手法,但大多锁定特定的浏览器或是应用程序,收集特定的账号与密码,而不像Masslogger可同时锁定多种类型的上网应用程序。

不过,木马程序Masslogger并非首度被发现,上一波攻击大约从去年的9月至11月,黑客锁定保加利亚、立陶宛、匈牙利、爱沙尼亚、罗马尼亚,以及西班牙等国下手。这个木马程序以.NET语言编写而成,会窃取多种常见上网应用程序的账号及密码,这些应用程序包含网页浏览器(Chrome、Edge、Opera、Brave、Firefox、QQ浏览器),电子邮件软件(Outlook、Thunderbird、Foxmail),即时通信软件(Pidgin、Discord),以及VPN用户端连接程序NordVPN等。

而这次Masslogger攻击引起思科的关切,主要在于黑客植入该木马程序的手法。与许多恶意软件相同的是,黑客通过钓鱼邮件的附件来挟带作案工具,但此起攻击的过程中,为了规避安全防护系统的侦测,攻击者使用了RAR分割压缩文件的文件扩展名(如R00、R04、R15等),来挟带作案用的工具,但实际上这是可独立运行的压缩文件,而该压缩文件内有1个CHM文件。

此外,黑客为了让受害者相信附件是安全的,在部分钓鱼邮件的签名档里,还会加上“此邮件通过iOS智能扫描”的叙述。

一旦用户打开附件压缩文件里面的CHM文件,计算机就会出现HTML网页,内容是“客户服务,请稍候”。但在此同时,该CHM文件里嵌入的ActiveX对象就会随之触发,并执行PowerShell程序代码下载启动器,接着再利用DLL启动器来加载Masslogger的酬载。思科指出,从CHM档触发后,Masslogger执行监听的过程几乎都是在内存内运行,受害者在计算机磁盘里会看到的作案工具,仅有电子邮件的附件与CHM文件。

至于攻击者的身份为何?思科并未披露其组织名称,但表明这些黑客曾经在2020年4月开始,运用其他的木马程序发动攻击,这些木马程序包含了Agent Tesla、Formbook,以及AsyncRAT等。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://baijiahao.baidu.com/s?id=1692200940922551284

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部