思科Talos發(fā)現(xiàn)了一個(gè)憑證竊取木馬，可從Chrome瀏覽器，Microsoft的Outlook和即時(shí)通訊程序中獲取您的登錄詳細(xì)信息。

Switchzilla的安全研究部門(mén)表示，Masslogger trojan的最新變種通過(guò)網(wǎng)絡(luò)釣魚(yú)電子郵件發(fā)送，包含在使用.chm文件格式和.r00擴(kuò)展名的多卷RAR歸檔文件中。

“CHM是一個(gè)編譯的HTML文件，其中包含帶有JavaScript代碼的嵌入式HTML文件，以啟動(dòng)主動(dòng)感染過(guò)程。感染的每個(gè)階段代碼都會(huì)被混淆，以避免使用簡(jiǎn)單的特征進(jìn)行檢測(cè)。打開(kāi)“幫助”文件會(huì)將惡意軟件部署到目標(biāo)系統(tǒng)上。

思科Talos補(bǔ)充說(shuō)：“ Masslogger是一個(gè)憑據(jù)竊取者和按鍵記錄器，能夠通過(guò)SMTP，F(xiàn)TP或HTTP協(xié)議泄露數(shù)據(jù)。對(duì)于前兩個(gè)，不需要其他服務(wù)器端組件，而通過(guò)Masslogger控制面板Web應(yīng)用程序完成HTTP上的滲透?！?/p>

容易受到這些行為影響的應(yīng)用程序包括Discord，Microsoft Outlook，Mozilla Thunderbird，F(xiàn)irefox和基于Chromium的瀏覽器。該惡意軟件還嘗試將其自身排除在Windows Defender掃描之外。

感染的第二階段是PowerShell腳本，這是一種常用技術(shù)，可從受感染的合法主機(jī)中以.jpg文件的形式加載到主Masslogger加載程序。從那里部署并執(zhí)行加載程序。

Talos表示，Masslogger背后的攻擊者主要針對(duì)南部和東歐國(guó)家：“基于發(fā)現(xiàn)的電子郵件和文件名的組合，我們認(rèn)為它針對(duì)的是土耳其，拉脫維亞和意大利的組織。我們已經(jīng)觀察到類似的活動(dòng)在之前的2020年9月開(kāi)始發(fā)生過(guò)幾次。在之前的活動(dòng)中，該目標(biāo)是針對(duì)保加利亞，立陶宛，匈牙利，愛(ài)沙尼亞，羅馬尼亞和西班牙。

參考鏈接：https://www.theregister.com/2021/02/18/masslogger_cisco_talos_research/

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門(mén)】免費(fèi)試用

本文來(lái)源:theregister

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明