一些黑客团伙总是喜欢找一些热点事件,利用这些热点事件传播恶意程序,近期某个黑客团伙就瞄准了某个热点事件,笔者监控到一例利用诱饵文档欺骗用户打开文档中捆绑的程序,利用恶意程序盗取用户浏览器帐号和密码的攻击案例
诱饵文档的内容,如下所示:
诱导受害者双击下面的视频链接,双击之后,如下所示:
文档中捆绑了一个仿冒Windows Media Player视频播放器的恶意程序,如下所示:
释放程序到%Temp%目录下,如下所示:
双击之后启动程序,如下所示:
对程序进行分析,提取出里面的python脚本,如下所示:
关闭浏览器,如下所示:
获取浏览器信息,相关的浏览器:Chrome、Firefox,如下所示:
解密浏览器密码,如下所示:
将获取到的浏览器帐号和密码信息文件发送到另外一个邮箱地址,发件邮件的帐号和密码明文在脚本中保存,如下所示:
接收的邮箱地址:beavershit@mail.ru
发送的邮箱地址:testing_mail20@mail.ru
使用的邮箱服务器是mail.ru,这是俄罗斯最流行的电子邮件网站
此文档在VT上的结果,如下所示:
释放的恶意程序在VT上的结果,只有九家厂商检测出来,如下所示:
这个黑产团伙想利用这个诱饵文档发起大面积攻击应该是选在2019年11月10-2019年11月11日之间,而且诱饵文档上的日期是2019年11月10日,可以看出这个幕后的黑产团伙是有组织有计划的发起网络攻击行为,利用了热点事件快速进行传播感染
可以看出现在简单依靠杀毒引擎(不管是传统的,还是现在的AI智能引擎)来检测查杀防御恶意文件基本已经无法满足当今网络安全的需求,而且现在无文件攻击活动也越来越多,未来会有更多新的综合性攻击手法出现,事实上钓鱼邮件和钓鱼攻击一直是黑客常用的攻击方法,一般会利用一些热点事件或冒充一些正规的邮件地址发送相关的邮件或诱饵文件,然后再诱骗受害者点击邮件中的附件或打开诱饵文件,各企业和用户一直要提高自身的安全意识,不要轻易打开未知的邮件或诱饵文档等
网络攻击的手法多种多样,这种直接收集用户的浏览器信息,然后通过发送邮件获取受害者数据的方式也是一种常见的数据获取方式,现在全球网络安全环境正发生巨大的变化,网络安全已经成为了国家和企业发展的重中之重
最后欢迎大家关注此微信公众号,专注全球恶意样本的分析与研究,深度追踪与解析恶意样本背后的黑色产业链,关注全球最新的安全攻击技术,及时提供全球最新最有价值的威胁情报信息
往期精彩回顾
如果对恶意样本分析技术感兴趣,可以加入知识星球进行学习,加入星球的朋友可以加入《安全分析与研究》专业群,与群里的各位安全研究员一起交流,讨论,研究各种安全技术,让你在学习成长的路上多一个伙伴,共同学习,共同成长
安全的路很长,贵在坚持……
