網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一種新的有針對性的垃圾郵件操作单起,部署了竊取密碼的惡意軟件搏嗡。
Sophos X-Ops發(fā)現(xiàn)了該活動,并在發(fā)布的一份報(bào)告中進(jìn)行了描述佣耐。
根據(jù)該報(bào)告政勃,攻擊者采用了社會工程策略,在發(fā)送惡意鏈接之前兼砖,利用電子郵件投訴服務(wù)問題或請求信息來與目標(biāo)建立信任奸远。
這種方法反映了此前被發(fā)現(xiàn)的一項(xiàng)活動既棺,該活動是在2023年4月美國聯(lián)邦納稅申報(bào)截止日期之前進(jìn)行的。
Sophos的研究人員安德魯·勃蘭特和肖恩·加拉格爾解釋說:“攻擊者的社會工程策略涉及范圍很廣懒叛,從投訴客人入住期間發(fā)生的暴力事件或盜竊丸冕,到要求提供有特殊需求的客人的住宿信息∩秩穑”
一旦酒店回復(fù)了最初的詢問晨仑,威脅參與者就會發(fā)送后續(xù)消息,其中包含所謂的文檔或證據(jù)拆檬,其中包含隱藏在密碼保護(hù)存檔文件中的惡意軟件有效載荷洪己。
攻擊者使用123456這樣的密碼,共享了來自公共云存儲服務(wù)(如Google Drive)的文件竟贯,使受害者能夠打開檔案答捕。
值得注意的是,惡意軟件的有效載荷被設(shè)計(jì)為逃避檢測屑那。它們是大小超過600 MB的大文件拱镐,大部分內(nèi)容都是空格填充零。
此外持际,惡意軟件使用代碼驗(yàn)證證書簽名沃琅,其中一些是在活動期間獲得的新證書,而另一些則是假的蜘欲。
該惡意軟件被識別為Redline Stealer或Vidar Stealer變種益眉,連接到電報(bào)頻道,用于指揮和控制目的姥份。它會泄漏數(shù)據(jù)郭脂,包括桌面屏幕截圖和瀏覽器信息,而不會在主機(jī)上建立持久性澈歉。
Sophos X-Ops表示展鸡,他們已經(jīng)從與此活動相關(guān)的云存儲中檢索了50多個獨(dú)特的樣本,并且已經(jīng)在他們的GitHub存儲庫中發(fā)布了折衷指標(biāo)埃难。
報(bào)告中寫道:“我們還報(bào)告了各種托管惡意軟件的云存儲提供商的惡意鏈接莹弊。大多數(shù)樣本在Virustotal中幾乎沒有檢測到病毒】常”
