专栏首页FreeBuf犯罪分子竟使用签名Rootkit窃取登录和付款信息

犯罪分子竟使用签名Rootkit窃取登录和付款信息

近期,研究人员发现有网络犯罪分子正在大规模的恶意活动中使用数字签名的Rootkit来窃取目标用户的登录凭证、支付信息以及浏览器历史记录,并以此来对社交网络用户进行网络诈骗以及恶意广告传播活动。

研究人员将此系列恶意活动命名为了“Scranos”,在此攻击活动中, Rootkit会要求目标用户安装一个视频驱动程序。安装完成后,它便会下载攻击者所设定的Payload。受此攻击影响的除了像Chrome、Chromium、Firefox、Opera、Edge和IE这些常用浏览器之外,还有Facebook、Amazon、Airbnb、Steam和Youtube这样的网络在线服务。

攻击形式新颖

研究人员表示,Rootkit签名所使用的证书很有可能是窃取来的。签名所用的数字证书来自于上海的一家健康管理咨询公司,而这家公司并未涉足软件开发领域。目前,该证书仍然是有效的。

研究人员目前已将Scranos活动的【详细分析报告】发布了出来,并在报告中详细介绍了此次攻击活动中所涉及到的攻击组件。

技术细节

攻击者在感染目标Windows系统时使用的是内存Rootkit,在实现感染时主要利用的是伪装成合法应用程序的电子书浏览器、视频播放器或反恶意软件产品。为了实现在目标主机上的持久化感染,Scranos会在目标设备关闭之前向硬盘覆盖写入数据,并在完成后删除所有的Payload。而且在某些特殊情况下,Payload甚至会向合法进程“svchost.exe”中注入恶意下载器。

根据研究人员的分析,目前该恶意软件样本的功能只包括:下载和运行Payload Dropper、实现持久化感染,以及删除正在使用的文件(用于移除内存中的Payload)。

但研究人员表示,Rootkit下载器是一款多功能的恶意软件,它还可以从刚才我们提到的浏览器中提取目标用户的登录凭证,并使用恶意DLL文件来实施其他攻击。

感染范围

除了Youtube用户之外,很大一部分目标用户都来自于中国,其中包括广东、上海、江苏和浙江的数万名用户在内。

但研究人员也表示,Scranos活动目前仍在不断进化,而它的感染范围也已经扩张到了印度、罗马尼亚、巴西、法国、意大利和印度尼西亚等国家和地图。除此之外,根据研究人员对恶意软件样本的分析,攻击者还有可能会在恶意软件中增加多种新型的感染组件。

Payload分析

针对Youtube频道的Payload使用了Chrome的调试模式,并将自身从任务栏中隐藏,不过我们还是可以通过任务管理器来查看到相应恶意软件的活动。如果目标主机中没有安装Chrome,恶意软件会直接安装在目标系统中。

研究人员表示:“我们在对一个Youtube页面及西宁分析后,我们发现恶意软件会先在Chrome中打开一个URL,然后利用恶意Payload来控制Chrome在这个页面中进行各种操作:打开一个视频,然后静音,并订阅该频道,最后点击恶意广告,而这些操作全部都是通过Chrome的调式命令完成的。”

在一天之内,YouTube Payload可以在后台悄悄订阅大量的特定频道,每天大约可以给目标频道带来3100多个新订阅者。

用于安装浏览器插件的Payload可以攻击Chrome、Opera和IE等支持Web页面JavaScript功能的浏览器。

在Chrome中,它可以Chrome Filter、Fierce-tips和PDF-Maker等插件,而最后一个目前仍然可以在ChromeWeb商城中找到,而且装机量也达到了12万8千多。

Facebook网络诈骗Payload负责发送好友请求以及钓鱼信息(恶意链接指向一个Android APK文件)。它可以从Firefox、Chrome以及其他基于Chromium的浏览器中窃取Cookie信息。

针对Edge浏览器,它会安装EdgeCookiesView这款工具,这款工具是Nirsoft开发的一款合法工具,而他所开发的工具是很多恶意软件开发人员以前都使用过的。

针对Steam账号,它首先会使用初始下载器下载安装Rootkit以及其他组件。然后重新设置一个注册表键来存储Steam账号凭证。除了凭证数据之外,窃取的数据还包括系统中安装的游戏列表以及上一次游戏时间等等。

研究人员表示,目前Scranos活动仍在持续进行中,而且攻击手段一直在不断进化升级,而且影响范围也在逐步扩大,其中绝大多数受影响的用户都是Windows 10用户。

* 参考来源:bleepingcomputer,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:Alpha_h4ck

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-05-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Roaming Mantis:通过Wi-Fi路由器感染智能手机

    前段时间,我们的专家调查了一款他们称为Roaming Mantis的恶意软件。当时,受影响的人主要来自日本,韩国,中国,印度和孟加拉国的用户,所以我们没有在其他...

    FB客服
  • 朝鲜黑客组织Kimsuky战术披露,曝迄今未记录的恶意组件

    APT组织“ Kimsuky”,据悉最早于2012年开始活动。该组织因为全球性的广泛攻击行动而臭名昭著,主要针对韩国智囊团、美国、俄罗斯和欧洲各个国家。

    FB客服
  • 图解Meterpreter实现网络穿透的方法

    纵向防御也被被称为为“多层防御”,这样的概念被运用于“信息安全”上。以多层电脑安全技术去减轻其风险,在其中有些电脑被入侵或是泄密时,风险可大大降低。 举例说明,...

    FB客服
  • 将Chrome设置为Jupyter_notebook的默认浏览器

    我们知道jupyter_notebook是在浏览器中打开的,这里建议大家都使用Chrome浏览器打开,因为其他浏览器可能会出现一些不兼容的问题。如果你电脑上有C...

    张俊红
  • SDN和NFV:云网络的未来

    编者按:软件定义网络固然可以在云中获得更高的效率和更大的灵活性,但是,诸如安全性和加密等方面的挑战阻碍了其进一步发展,SDN和NFV是云网络未来的发展趋势。 ?...

    SDNLAB
  • 【C语言笔记】关于数组的一个陷阱!

    所以,&a[2] - &a[0]的结果是8?但是,事实不是这样的!!让我们把其结果打印出来:

    正念君
  • Python读取VOC中的xml目标框实例

    补充知识:使用python将voc类型标注xml文件对图片进行目标还原,以及批量裁剪特定类

    砸漏
  • 死磕 java集合之WeakHashMap源码分析

    WeakHashMap是一种弱引用map,内部的key会存储为弱引用,当jvm gc的时候,如果这些key没有强引用存在的话,会被gc回收掉,下一次当我们操作m...

    彤哥
  • SoapUI 访问代理设置

    运行SoapUI时,发现接口访问不通,如下图,提示"Connection to http://127.0.0.1:8080"

    授客
  • Python高效编程之88条军规(2):你真的会格式化字符串吗?

    在微信公众号「极客起源」中输入595586,可学习全部的《Python高效编程之88条军规》系列文章。

    蒙娜丽宁

扫码关注云+社区

领取腾讯云代金券