黑客正在分发一种新的以AutoHotkey(AHK)脚本语言编写的凭据窃取程序,这是自2020年初开始的攻击活动的一部分。
美国和加拿大银行用户是黑客的主要目标,特别是丰业银行、加拿大皇家银行、汇丰银行、Alterna银行、Capital One、Manulife和EQ Bank、还包括印度银行公司ICICI Bank。
AutoHotkey是Microsoft Windows的一种开源自定义脚本语言,旨在为宏创建和软件自动化提供简单的热键,允许用户在任何Windows应用程序中自动执行重复的任务。
多阶段感染链始于一个嵌入了Visual Basic for Applications(VBA)AutoOpen宏的带有恶意软件的Excel文件,该宏随后用于通过合法AHK脚本编译器可执行文件“adb.exe”删除并执行下载程序客户端脚本“adb.ahk”。
下载客户端脚本还负责实现持久性、分析受害者信息、以及从位于美国、荷兰和瑞典的C&C服务器下载并运行其他AHK脚本。
该恶意软件下载并执行AHK脚本以完成不同的任务,而不是直接从C&C服务器接收命令。
Trend Micro的研究人员表示:“攻击者可以决定上传特定的脚本来为每个用户或用户组实现自定义任务。这也阻止了主要程序被公开披露,特别是向其他研究人员或沙盒披露。”
其中最主要的是针对各种浏览器(比如Google Chrome、Opera、Microsoft Edge等)的凭证窃取程序。一旦安装,窃取程序会尝试在受感染的机器上下载SQLite模块(“sqlite3.dll”),使用它对浏览器应用程序文件夹中的SQLite数据库执行SQL查询。
最后,窃取程序从浏览器收集并解密凭证,并通过HTTP POST请求以明文形式将信息导出到C&C服务器。
恶意软件组件“在代码级别上组织得很好”,其中包含的使用说明(用俄语编写)可能意味着攻击链的背后存在一个“雇佣黑客”组织。
研究人员总结:“通过在受害者的操作系统中使用缺乏内置编译器的脚本语言,加载恶意组件并频繁更改C&C服务器,黑客就能隐藏其恶意意图。”
消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。
本文由 HackerNews.cc 翻译整理。
转载请注明“转自 HackerNews.cc ”
俄乌冲突进入第 3 周,一些非常规行为者继续针对俄罗斯国家支持的企业发起攻击,进行一连串的黑客攻击和数据泄露。而由俄罗斯国家控制的石油管道巨头 Transneft 无疑成为了重点攻击对象。 本周四,泄密托管网站 Distributed Denial of Secrets 发布了一个 79GB 的电子...
据报道,犯罪黑客正在通过一种有效的、狡猾的技术用偷来的执法部门的电子邮件从大型科技公司、ISP、运营商和社交媒体公司窃取用户数据。据网络安全记者Brian Krebs称,更具体地说,攻击者显然正在伪装成执法官员以获取传票特权数据。 一般来说,他们使用被破坏的执法部门电子邮件账户。 这种策略还依赖于...
根据区块链数据公司Chainalysis的一份报告,在2021年底,网络犯罪分子拥有超过110亿美元与非法活动有关的加密货币,比2020年底的30亿美元有了飞速的增长。最有利可图的犯罪行为是盗窃。据该公司称,犯罪分子、加密货币钱包中93%的资金是由价值98亿美元的被盗币构成。 为了找到这些数字,Ch...
Hackernews 编译,转载请注明出处: 一个新的安卓银行木马通过官方的 Google Play Store 分发,安装量超过50,000次,其目的是针对56家欧洲银行,从受损的设备中获取敏感信息。 这款恶意软件被荷兰安全公司ThreatFabric命名为 Xenomorph,据说它与另...
针对有用户报告称存在未经授权的登录尝试之后,LastPass 方面表示目前并没有证据表明存在数据泄漏。LogMeIn 全球公关部高级主管 Nikolett Bacso-Albaum 向 The Verge 表示,用户收到的警报和“相当常见的机器人活动”有关。 他表示涉及到使用电子邮件地址和密码登录...
据外媒Neowin报道,在今天这个围绕着互联网的世界里,对我们私人数据的在线保护始终是一个热门话题。大型科技公司由于收集和管理的数据量大,经常面临监管机构等的冲击。在与此相关的最新进展中,来自爱尔兰公民自由委员会(ICCL)的高级研究员Johnny Ryan博士决定对IAB技术实验室提起诉讼。该诉...