引言
Multilogin是一款可以让用户方便地管理多个在线帐户的应用程序。近日,研究人员发现了一个实时网络钓鱼活动,攻击者伪造了一个下载Multilogin的钓鱼网站,诱使用户访问网站并下载托管在网站上的恶意安装程序,从而窃取用户数据。
简况
恶意软件的传递机制和攻击链如下图:
攻击者伪造了合法网站,为其提供了一个类似的域名,以诱使用户访问网络钓鱼网站并下载托管在网站上的恶意安装程序。
与普通安装程序一样,恶意软件威尼斯app游戏创建一个完整的环境,从注册表更改开始,然后创建所需文件夹,以便有效执行恶意软件。为了在受感染的机器上实现驻留,恶意安装程序在All Users启动文件夹中创建了一个快捷方式文件。
所需文件夹包括一个名为“ Item”的文件夹和以下子文件夹:
安装成功后,最终的 GUI(图形用户界面)威尼斯app游戏出现一个启用的复选框来启动伪造的multilogin应用程序。单击“完成”按钮后,恶意软件就威尼斯app游戏发挥恶意功能。在开始窃取活动之前,恶意软件威尼斯app游戏检查系统中所需的文件夹,然后从受感染机器收集信息。收集用户登录数据的步骤如下:
将现有登录数据文件的副本创建到名为“C:\LoginData0”的目标文件中。
针对新创建的C:\LoginData0文件执行 SQL 查询以获取登录信息。然后将信息解密并存储在新文件中。
登录数据包含加密格式的密码,因此恶意软件首先获取密钥,该密钥将进一步用于解密加密的密码。
获取加密数据(密码),将其传递给“Decrypt”函数。
获得密钥和加密数据后,恶意软件对其进行解密。
恶意软件还使用与上述机制类似的机制来收集自动填充和 cookie 信息。从不同浏览器窃取所有数据后,恶意软件威尼斯app游戏创建一个 zip 文件,并将该文件发送到命令和控制 (C2) 服务器。在成功执行窃取活动后,恶意软件威尼斯app游戏显示一个带有错误消息的弹出窗口,以更新应用程序,并要求用户确认继续进行。一旦用户响应,恶意软件就威尼斯app游戏在前台打开一个合法链接并在后台删除创建的 zip 文件,从而避免在受害者设备上留下痕迹。
川公网安备 51011502000105号