Fauxpersky恶意软件伪装成卡巴斯基反病毒软件并盗取登录凭证
2018-06-11 来源:
Cybereason的安全研究人员最近发现Fauxpersky 恶意软件 ,它伪装成卡巴斯基反病毒软件,并通过受感染的USB驱动器传播,其目的是监控用户按键并盗取登录凭证。Fauxpersky 恶意软件 是用AutoIT或AutoHotKey 编写的。
Fauxpersky恶意软件的技术并不高超 胜在社工的技巧
Fauxpersky是用AutoIT或AutoHotKey 编写的 ,它们类似于BASIC的脚本语言,前者用于自动化Windows GUI和一般脚本,后者是一个免费的键盘宏程序,用于向其他应用程序发送用户的按键信息。
受感染系统的分析显示存在四个释放文件,攻击者将其命名为Windows系统文件:Explorers.exe、Spoolsvc.exe、Svhost.exe和Taskhosts.exe。
初次执行后,Fauxpersky键盘记录程序会收集机器上列出的驱动器,并开始复制自己。分析报告称
“这个AHK键盘记录器利用一种相当直接的 自我传播 方法 来传播。 初次执行后,键盘记录器会收集机器上列出的驱动器,并开始将其自身复制到这些驱动器。
“这可以让键盘记录器从主机传播到任何连接的外部驱动器。 如果键盘记录器传播到外部驱动器,它将重命名驱动器以匹配它的命名方案。
恶意软件重命名外部驱动器以匹配其命名方案,新名称由以下约定组成:
original name:size:”Secured by Kaspersky Internet Security 2017”
它还会创建一个autorun.inf文件以指向批处理脚本。 其中一个释放文件 Explorers.exe 包含一个名为CheckRPath()的函数,用于在文件不在驱动器中时创建这些文件。
AutoHotKey(AHK) 从游戏作弊工具发展为恶意软件
来自bleepingComputer的消息称,多年来,AutoHotKey成为用于创建游戏机和其他游戏作弊工具的主要技术。 但近几个月来,该语言也开始接触一些恶意软件开发者。
Ixia的安全研究团队第一份报告强调了,基于AHK的恶意软件数量不断增加,该团队在2月底发现了AHK恶意软件样本,持续分发 加密货币挖矿 和剪贴板劫持者。
Ixia的调查结果在本月增加了一倍,而网络安全公司Cybereason发布了 另一个 类似的报告,报道了该公司发现的另一个基于AHK的恶意软件,并命名为Fauxpersky,因为它试图模仿卡巴斯基杀毒软件。
但这些并不是研究人员发现的唯一恶意软件毒株,并且AHK恶意软件的名单日益增多。 Cirlig说:
“我们每天都会找到相同的剪贴板/释放器/键盘记录器,这些剪贴板/键盘记录器只对他们的代码进行微小的更改,甚至可以采用复杂的混淆技术和文件结构。”
Fauxpersky恶意软件使用种种办法隐藏自己 主要是伪装成卡巴反病毒软件
键盘记录器创建了具有系统和隐藏属性的文件,并创建了对应的文件夹,并赋予只读、系统和隐藏属性。
“当开始创建组件文件(HideRFiles())的过程时,我们首先开始一个循环。 这个循环允许键盘记录器以结构化的方式迭代它需要写入磁盘的各种输出文件。“
“我们可以看到链接(.lnk shourtcut 文件),文本和批处理文件都将为每个磁盘创建。 然后,传递给该函数的值会递增,以便在将文件放置在那里时将创建的目录作为整体移动。 “
将文件复制到新目标时,这些文件将存储在名为Kaspersky Internet Security 2017的源目录中。 该文件夹包含一个名为Logo.png的卡巴斯基图像和一个文本文件,其中包含用户在执行失败时禁用其防病毒功能的说明。 说明还包括“与卡巴斯基互联网安全套装2017不兼容”的安全工具列表(包括卡巴斯基互联网安全套装)。
Fauxpersky使用AHK函数WinGetActiveTitle()和input()监视当前活动窗口,按键被附加到存储在%APPDATA%\ Kaspersky Internet Security 2017中的文件Log.txt中。
恶意软件为了获得持久驻留,将恶意软件的工作目录更改为%APPDATA%,并创建 Kaspersky Internet Security 2017 文件夹。它检查所有必需的文件是否在%APPDATA%中已经创建,如果不是,则将其复制到那里。
这些文件Spoolsvc.exe用于更改注册表项的值,以防止系统显示隐藏文件并隐藏系统文件,然后验证explorers.exe是否正在运行,如果没有,则会启动它。
Fauxpersky恶意软件通过Google Forms外传数据
Fauxpersky通过云服务Google表格,将键盘记录的 数据泄露 出去。 Cybereason总结说。
“利用Google表单进行数据窃取,是一种非常简单和巧妙的方式,可以克服涉及数据泄露的大量”物流“。使用这种技术意味着,没有必要维护一个匿名的C&C服务器,同时由于docs.google.com的数据传输是加密的,并且在各种流量监控解决方案看起来并不可疑。“
来源:securityaffairs
转自: http://toutiao.secjia.com/fauxpersky-malware
标签: Google 安全 代码 服务器 互联网 互联网安全 脚本 开发者 网络 网络安全 网络安全公司 用户 云服务
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。
上一篇:Verge加密货币遭遇攻击