思科Talos發現了一個憑證竊取木馬，可從Chrome瀏覽器，Microsoft的Outlook和即時通訊程序中獲取您的登錄詳細信息。

Switchzilla的安全研究部門表示，Masslogger trojan的最新變種通過網絡釣魚電子郵件發送，包含在使用.chm文件格式和.r00擴展名的多卷RAR歸檔文件中。

“CHM是一個編譯的HTML文件，其中包含帶有JavaScript代碼的嵌入式HTML文件，以啟動主動感染過程。感染的每個階段代碼都會被混淆，以避免使用簡單的特征進行檢測。打開“幫助”文件會將惡意軟件部署到目標系統上。

思科Talos補充說：“ Masslogger是一個憑據竊取者和按鍵記錄器，能夠通過SMTP，FTP或HTTP協議泄露數據。對于前兩個，不需要其他服務器端組件，而通過Masslogger控制面板Web應用程序完成HTTP上的滲透。”

容易受到這些行為影響的應用程序包括Discord，Microsoft Outlook，Mozilla Thunderbird，Firefox和基于Chromium的瀏覽器。該惡意軟件還嘗試將其自身排除在Windows Defender掃描之外。

感染的第二階段是PowerShell腳本，這是一種常用技術，可從受感染的合法主機中以.jpg文件的形式加載到主Masslogger加載程序。從那里部署并執行加載程序。

Talos表示，Masslogger背后的攻擊者主要針對南部和東歐國家：“基于發現的電子郵件和文件名的組合，我們認為它針對的是土耳其，拉脫維亞和意大利的組織。我們已經觀察到類似的活動在之前的2020年9月開始發生過幾次。在之前的活動中，該目標是針對保加利亞，立陶宛，匈牙利，愛沙尼亞，羅馬尼亞和西班牙。

參考鏈接：https://www.theregister.com/2021/02/18/masslogger_cisco_talos_research/

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:theregister

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明