一种新的凭证窃取恶意软件Zaraza正在窃取网络浏览器谷歌Chrome, Microsoft Edge, Opera和Brave的登录凭证。研究人员警告称,威胁行为者正在利用Telegram服务器作为他们的指挥与控制(C2)平台,来篡改从目标计算机上泄露的银行登录凭据和加密货币。
发布报告概述恶意软件活动的Uptycs表示,Telegram也被用来分发和营销Zaraza恶意软件。研究人员认为,该活动背后的对手与俄罗斯有联系,并补充说,恶意软件的名称(zaraza)从俄语翻译为“感染”一词。
总共有近40个网络浏览器被使用Zaraza僵尸程序的攻击者盯上。值得注意的是,苹果公司的Safari和Mozilla基金会的火狐浏览器没有出现在浏览器列表中。Uptycs的分析没有包括攻击者用来感染目标计算机的初始路径或技术。
“攻击者…将窃取的数据用于恶意目的,例如身份盗窃、金融欺诈以及未经授权访问个人和企业账户。”
有趣的是,Zaraza恶意软件可以破解目标浏览器用于保护存储密码的加密。作为默认的安全措施,系统上的web浏览器以两种加密格式存储凭证。然而,Zaraza机器人能够解密这两种格式。”
Zaraza机器人似乎是一个有组织犯罪企业的一部分,威胁行为者可以从一个集中的恶意软件分销商那里购买访问该机器人的权限。威胁行为者使用Telegram Messenger平台作为C2是一个持续的趋势。Uptycs表示,对手喜欢Telegram是因为他们可以利用它来传播恶意软件、移动数据和绕过检测。
Zaraza是使用c#编程语言编译的64位二进制文件,其代码中包含俄罗斯西里尔字符。扫描受感染设备后,恶意软件在Temp目录下的新子文件夹中创建一个“output.txt”文件。研究人员表示:“在成功从浏览器中提取加密密码后,攻击者将这些数据保存到output.txt文件中。”
受害者机器的屏幕截图也存储在output.txt位置,然后共享到Telegram频道。
Uptycs提供了一份YARA规则的副本,安全专家可以在任何具有YARA规则检测功能的EDR/XDR供应商中使用,并手动删除恶意文件。泄露的一个指标包括MD5文件散列(41D5FDA21CF991734793DF190FF078BA)。
声明:本文相关资讯来自scmagazine,版权归作者所有,转载目的在于传递更多信息。如有侵权,请联系本站处理。