zoukankan      html  css  js  c++  java
  • 当心“冠状病毒图”是一种恶意软件,它会感染电脑窃取密码

    互联网时代,网络罪犯将不遗余力地利用一切机会掠夺互联网用户。甚至导致COVID-19(疾病)的SARS-COV-II(病毒)的灾难性传播,也正在成为他们传播恶意软件或发起网络攻击的机会。

    据国内知名网络安全组织东方联盟最近发布了一份威胁分析报告,其中详细介绍了一种新攻击,该攻击利用了互联网用户越来越渴望获得有关正在全球范围内肆虐的新型冠状病毒的信息的优势。

    该恶意软件攻击专门针对那些正在寻找Internet上COVID-19传播的制图演示文稿的人,并诱骗他们下载并运行一个恶意应用程序,该应用程序的前端显示从合法站点加载的地图。

    具有旧恶意软件组件的新威胁

    上周,知名网络安全专家,东方联盟创始人郭盛华首次发现了旨在从不知情的受害者那里窃取信息的最新威胁,它涉及一个被标识为AZORult的恶意软件,该恶意软件在2016年被发现。AZORult恶意软件收集存储在Web浏览器中的信息,特别是cookie,浏览历史记录,用户ID,密码,甚至是加密货币密钥。

    利用从浏览器中提取的这些数据,网络犯罪分子就有可能窃取信用卡号,登录凭据以及各种其他敏感信息。据报道,在俄罗斯地下论坛中讨论了AZORult,它是一种从计算机收集敏感数据的工具。它带有一个变体,能够在受感染的计算机中生成一个隐藏的管理员帐户,以通过远程桌面协议(RDP)启用连接。

    样本分析

    东方联盟提供了有关研究恶意软件的技术细节,该恶意软件嵌入在文件中,通常名为Corona-virus-Map.com.exe。这是一个小的Win32 EXE文件,其有效负载大小仅为3.26 MB左右。

    双击该文件将打开一个窗口,该窗口显示有关COVID-19传播的各种信息。核心是类似于约翰·霍普金斯大学(Johns Hopkins University)主办的“感染地图”,这是 一个合法的在线资源 ,可以实时可视化和跟踪报告的冠状病毒病例。

    左侧显示了不同国家的确诊病例数,右侧是死亡和康复统计数据。该窗口似乎是交互式的,带有用于其他各种相关信息的选项卡以及到源的链接。

    它提供了令人信服的GUI,没有多少人会怀疑这是有害的。所提供的信息不是随机数据的合并,而是从Johns Hopkins网站收集的实际COVID-19信息。

    需要指出的是,约翰霍普金斯大学或ArcGIS在线托管 的原始冠状病毒图 没有任何感染或后门之处,可以安全地访问。该恶意软件利用了一些打包层,并注入了多子过程技术,这给研究人员检测和分析带来了挑战。此外,它采用了任务计划程序,因此可以继续运行。

    感染迹象

    执行Corona-virus-Map.com.exe会导致创建Corona-virus-Map.com.exe文件和多个Corona.exe,Bin.exe,Build.exe和Windows.Globalization.Fontgroups的重复项, exe文件。

    此外,该恶意软件还会修改ZoneMap和LanguageList下的少数寄存器。还创建了多个互斥锁。

    恶意软件的执行将激活以下过程:Bin.exe,Windows.Globalization.Fontgroups.exe和Corona-virus-Map.com.exe。这些尝试连接到多个URL。

    这些进程和URL仅是攻击所造成的后果的一个示例。生成了许多其他文件并启动了进程。当恶意软件试图收集各种信息时,它们会创建各种网络通信活动。

    攻击如何窃取信息

    东方联盟在官方微博上的详细介绍了它如何剖析该恶意软件。一个重要的细节是他对Ollydbg的Bin.exe进程的分析。因此,该过程编写了一些动态链接库(DLL)。DLL“ nss3.dll”引起了他的注意,因为这是他从不同的演员那里认识的。

    东方联盟安全研究人员观察到与nss3.dll相关的API的静态加载。这些API似乎有助于解密已保存的密码以及生成输出数据。

    这是数据窃贼常用的方法。相对简单,它仅从受感染的Web浏览器捕获登录数据,并将其移至C: Windows Temp文件夹。这是AZORult攻击的标志之一,其中,恶意软件提取数据,生成受感染计算机的唯一ID,应用XOR加密,然后启动C2通信。

    该恶意软件会拨打特定电话,以试图从常见的在线帐户(例如Telegram和Steam)中窃取登录数据。

    要强调的是,恶意软件执行是其继续进行信息窃取过程所需的唯一步骤。受害者无需与窗口互动或在其中输入敏感信息。

    清洁与预防

    这听起来像是很奇怪,但东方联盟安全研究人员建议使用Reason Antivirus或360软件作为修复受感染设备并防止进一步攻击的解决方案。原因是第一个发现和审查这种新威胁的人,因此他们可以有效地应对它。

    自从在3月9日公开以来,其他安全公司可能已经了解到了这种威胁。他们的防病毒软件或恶意软件保护工具将在发布时进行更新。因此,它们可能具有类似的检测和预防新威胁的能力。

    删除和阻止机会性“冠状病毒图”恶意软件的关键是拥有正确的恶意软件保护系统。手动检测将具有挑战性,更不用说没有正确的软件工具就可以清除感染。

    从互联网上下载和运行文件时,谨慎行事可能还不够,因为当今许多人都急于访问有关新型冠状病毒的信息。COVID-19的大流行水平分散不仅在离线(避免感染该疾病)方面,而且在在线时都应格外小心。网络攻击者正在利用Web上与冠状病毒相关的资源的普及,许多攻击者可能会成为攻击的牺牲品。(欢迎转载分享)

  • 相关阅读:
    SpringMVC框架搭建
    java事务的概念
    SpringMVC框架
    JAVA多线程面试题
    MD5加密
    java对象和xml的转换
    eclipse环境配置
    关于枚举类的使用
    定时器的使用
    关于AS-OS
  • 原文地址:https://www.cnblogs.com/hacker520/p/12517960.html
Copyright © 2011-2022 走看看