SonicWall Capture Labs 威胁研究团队发现了源自 Mercurial 密码窃取器系列的数据盗窃恶意软件。该恶意软件是开源的,可在 github 上轻松获得,“仅用于教育目的”。因为它是开源的,所以只需很少的编程专业知识就可以轻松定制和部署。该恶意软件是用 C# 编写的,反编译起来很简单。
感染周期:
感染后,恶意软件会将自身复制到%APPDATA\Local\Temp\。它还将自己添加到注册表中,以便在每次重新启动后启动它:
它扫描系统以获取浏览器配置文件信息:
除了搜索浏览器数据,它还搜索 Minecraft 启动配置文件和 Discord Level DB 文件:
它包含一个非常基本的反调试级别:
从系统收集的任何信息都通过 HTTP POST 请求发送给操作员:
SonicWall Capture Labs 通过以下签名提供针对此威胁的保护:
SonicWall Capture ATP w/RTDMI 和 Capture Client 端点解决方案也检测到此威胁 。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。