南通新闻

电银付官网(www.dianyinzhifu.com):基于autohotkey的密码窃取器正在针对美国和加拿大的银行提议攻击

来源:南通新闻网 发布时间:2021-01-04 浏览次数:

AutoHotkey 是一款免费的、Windows平台下开放源代码的热键剧本语言。

研究人员发现黑客正在流传一种用AutoHotkey (AHK)剧本语言编写的新证书窃取器,这是自2020年头最先的一项连续流动的一部分。

美国和加拿大的金融机构客户是此次攻击的主要目的,特别是针对银行,如丰业银行、加拿大皇家银行、汇丰银行、Alterna银行、第一资源银行、宏利人寿和EQ银行,目的就是窃取用户的银行卡号和密码,另外还包罗一家印度银行:印度工业信贷投资银行。

AutoHotkey是一种面向Microsoft Windows的开源自定义剧本语言,旨在为宏建立和软件自动化提供简朴的热键,允许用户在任何Windows应用程序中自动化重复的义务。

多阶段熏染链最先于一个嵌入了Visual Basic for Applications (VBA) AutoOpen宏的带有恶意软件的Excel文件,该文件随后被用来通过正当的可移植AHK剧本编译器可执行文件(“adb.exe”)删除和执行下载程序客户端剧本(“adb.ahk”)。

下载程序客户端剧本还卖力实现持久性,剖析受害者,并从位于美国、荷兰和瑞典的下令与控制(C&C)服务器下载和运行分外的AHK剧本。

,

欧博开户网址

欢迎进入欧博开户网址(Allbet Gaming):www.aLLbetgame.us,欧博网址开放会员注册、代理开户、电脑客户端下载、苹果安卓下载等业务。

,

这个恶意软件的差别之处在于,它不是直接从C&C服务器吸收下令,而是下载并执行AHK剧原本完成差别的义务。

趋势科技的研究人员在一份剖析讲述中示意:

“通过这样做,攻击者可以决议上传特定的剧本,为每个用户或用户组实现定制义务。这也防止了主要组件被公然,特别是向其他研究人员或沙箱披露。”

其中最主要的是一个证书窃取程序,目的是种种浏览器,如谷歌Chrome, Opera, Microsoft Edge等。安装完成后,攻击者还将实验在受熏染的盘算机上下载SQLite模块(“sqlite3.dll”),并使用该模块对浏览器的应用程序文件夹中的SQLite数据库执行SQL查询。

在最后一步,攻击者从浏览器网络并解密凭证,并通过HTTP POST请求以纯文本形式将信息扩展到C&C服务器。

研究人员注意到恶意软件组件“在代码级别上有条不紊”,建议使用说明(俄语编写)可能意味着攻击链建立背后的“招聘黑客”组织,并将其作为一种服务提供给他人。

研究人员总结道:

“通过在受害者的操作系统中使用缺乏内置编译器的剧本语言,加载恶意组件来划分完成种种义务,并频仍更改C&C服务器,攻击者已经能够在沙箱中隐藏他们的攻击意图。”

本文翻译自:https://thehackernews.com/2020/12/autohotkey-based-password-stealer.html:
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片