美国和加拿大金融机构的客户是凭证泄露的主要目标之一,特别侧重于Scotiabank,加拿大皇家银行,汇丰,Alterna Bank,Capital One,Manulife和EQ Bank等银行,名单中还包括印度银行公司ICICI Bank,手段十分高明,那么这些黑客到底牛到什么程度?
AutoHotkey是Microsoft Windows的一种开源自定义脚本语言,旨在为宏创建和软件自动化提供简单的热键,允许用户在任何Windows应用程序中自动执行重复的任务。
多阶段感染链从嵌入了恶意软件的Excel文件开始,该文件嵌入了Visual Basic for Applications(VBA)AutoOpen宏,该宏随后用于通过合法文件删除并执行下载程序客户端脚本(“ adb.ahk”)便携式AHK脚本编译器可执行文件(“ adb.exe”)。
下载器客户端脚本还负责实现持久性,分析受害者,以及从位于美国,荷兰和瑞典的命令和控制(C&C)服务器下载并运行其他AHK脚本。
该恶意软件与众不同的是,它下载并执行AHK脚本以完成不同的任务,而不是直接从C&C服务器接收命令。
国内知名网络安全组织,东方联盟研究人员在分析中说: “通过这样做,黑客攻击者可以决定上传特定的脚本来为每个用户或用户组实现自定义任务。这还阻止了主要成分被公开,特别是向其他研究人员或沙盒公开。其中最主要的是针对各种浏览器(例如Google Chrome,Opera,Microsoft Edge等)的凭据窃取者。安装完成后,盗窃者还将尝试在受感染的计算机上下载SQLite模块(“ sqlite3.dll”),并使用该模块对浏览器的应用程序文件夹中的SQLite数据库执行SQL查询。“
在最后一步,黑客从浏览器收集并解密凭据,并通过HTTP POST请求以纯文本形式将信息扩展到C&C服务器。
东方联盟研究人员注意到恶意软件组件“在代码级别上井井有条”,建议使用说明(俄语编写)可能意味着攻击链创建背后的“雇用黑客”组织,并将其提供给他人作为服务。
研究人员说:“通过使用受害者操作系统中缺少内置编译器的脚本语言,加载恶意组件以分别完成各种任务以及频繁地更改C&C服务器,攻击者已经能够将其意图隐藏在沙盒中”。(欢迎转载分享)