Masslogger特洛伊木马的一个变种正被用于旨在窃取Microsoft Outlook、Google Chrome和messenger service帐户凭据的攻击中。

周三，Cisco Talos的网络安全研究人员https://blog.talosintelligence.com/2021/02/masslogger-cred-exfil.html“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>表示，该活动目前主要针对土耳其、拉脱维亚和意大利的受害者，在2020年末，针对西班牙、保加利亚、立陶宛、匈牙利、爱沙尼亚和罗马尼亚用户的扩展活动被记录在案。

看来，目标几乎每月都在发生变化。

Masslogger于2020年4月首次在野外被发现，是根据地下论坛达成的许可协议。然而，新的变种被Talos认为是“值得注意的”，因为它使用了一种经过编译的HTML文件格式来触发感染链。

威胁参与者以一种典型的方式开始攻击，即通过网络钓鱼电子邮件。在这次攻击浪潮中，仿冒邮件伪装成与业务相关的查询，并包含.RAR附件。

如果受害者打开附件，它们将被拆分为扩展名为“r00”的多卷存档，研究人员认为，这一特性可能是为了“绕过任何基于文件扩展名阻止电子邮件附件的程序”。

然后提取一个编译的HTML文件.CHM（合法Windows帮助文件的默认格式），其中包含一个嵌入JavaScript代码的HTML文件。在每一个阶段，代码都会被混淆，并最终导致部署一个包含Masslogger加载程序的PowerShell脚本。

Masslogger特洛伊木马变种，专为Windows机器设计，用.NET编写，然后将开始过滤用户凭据，并且对其目标并不挑剔——家庭用户和企业都有风险，尽管看起来运营商正在关注后者。

在存储在内存中作为缓冲区，用gzip压缩后，恶意软件开始收集凭据。Microsoft Outlook、Google Chrome、Firefox、Edge、NordVPN、FileZilla和Thunderbird都是特洛伊木马攻击的目标应用程序。

窃取的信息可以通过SMTP、FTP或HTTP通道发送。上传到Exfilter服务器的信息包括受害者的PC用户名、国家/地区ID、机器ID和时间戳，以及与配置选项和正在运行的进程有关的记录。

“观察到的活动几乎完全执行，只存在于内存中，它强调了定期和背景记忆扫描的重要性磁盘上唯一的组件是附件和已编译的HTML帮助文件。”

研究人员注意到Masslogger也可以充当键盘记录程序，但在这种变体中，键盘记录功能似乎已被禁用。

Cisco Talos认为，基于危害指标（IOC），这些网络攻击者还可能与过去使用的agenttela、Formbook和AsyncRAT特洛伊木马有关。

以前和相关的报道

• Cerberus banking特洛伊木马源代码免费发布网络攻击者https://www.zdnet.com/article/colombian-energy-metal-firms-under-fire-from-new-特洛伊木马攻击-wave/“target=”\u blank“>哥伦比亚能源公司，在新的特洛伊木马攻击浪潮中受到攻击的金属公司https://www.zdnet.com/article/njrat-trojan-operators-are-now-using-pastebin-as-alternative-to-central-command-server/“target=”\u blank“>njRAT特洛伊木马操作员现在使用Pastebin替代中央命令服务器
  

有提示吗？通过WhatsApp |信号+447713 025 499或Keybase:charlie0安全联系

为COVID-19疫苗护照辩护：向数据民主的转变

Wix 2020年第4季度：强劲的订阅增长通过注册，您同意https://redventures.com/CMG-terms-of-use.html“target=”\u blank“rel=”noopener noreferrer nof