360浏览器家园

todaygood9993个月前翻墙25

全网最佳IP代理服务商- 9.9元开通-稳定的代理服务
如果您从事外贸、海外视频博主、海外推广、海外广告投放,欢迎选择我们。
让您轻易使用国外主流的聊天软件、视频网站以及社交网络等等

  FortiGuard实验室最近发现了一个电子邮件钓鱼活动,利用欺骗性的预订信息引诱受害者点击恶意PDF文件。PDF下载了一个用PowerGUI创建的执行文件,然后运行PowerShell脚本来获取最终的恶意软件,称为MrAnon Stealer。

  该恶意软件是一个基于Python的信息窃取程序,使用cx Freeze压缩以逃避检测。MrAnon Stealer窃取受害者的凭据、系统信息、浏览器会话和加密货币扩展,攻击流程如下所示。

  下载网址主要在德国被查询,这表明它是攻击的主要目标。这个URL的查询数量在2023年11月显著上升360浏览器家园,该活动在该月异常活跃和激进。在本文中,我们将详细介绍该恶意软件在每个阶段的行为。

  攻击者伪装成一家希望预订酒店房间的公司,发送主题为“12月房间可用性查询”的网络钓鱼电子邮件。该网站包含假日期间虚假的酒店预订信息,附加的恶意PDF文件有一个下载链接隐藏在对象中。其解码后的数据如下:

  通过“Loader”类中的字符串,可以发现恶意软件使用了PowerShell脚本编辑器,该编辑器将PowerShell脚本转换为微软可执行文件。

  在检查下图所示的执行文件后,我们发现它利用ScriptRunner.dll提取“Scripts.zip”以获得一个PowerShell脚本。解压后的文件存放在以下位置:

  这个 .NET Microsoft Windows可执行文件的唯一任务是解压缩名为“down2”的嵌入式脚本,并使用PowerShell.exe执行它。打包的文件和PowerShell配置位于文件的资源部分,如下图所示。

  该脚本启动Windows窗体的加载并配置其设置,包括窗体、标签和进度条。此外,它在后续脚本的执行中定义了文本,以消除用户的疑虑。

  在 “Form Load event”部分中,脚本从相同的域“anonbin[.]ir”中检索有效负载,并解压缩临时文件夹中的文件。然后,它在zip归档中定位执行文件,并使用“Start-Process” 执行。在这种状态下,会显示一个名为 “File Not Supported”的窗口,并伴有一条指示 “Not Run: python.exe.” 的状态消息。这种欺骗性的演示旨在误导用户,使其相信恶意软件尚未成功执行。下图显示了恶意软件执行过程中的窗口和进度条。

  压缩文件“Ads-Pro-V6-Free-Trail (1).zip”包含多个文件。下图显示了解压文件夹的内容。在此文件夹中,两个DLL文件作为干净的组件,以方便“Python .exe”进程加载额外的Python代码。下图展示了“Python .exe”中的WinMain函数,清楚地表明这不是一个合法的Python可执行文件。

  下图显示了“library.zip”中的文件。值得注意的是,与合法文件相比,“cstgversion_main__.pyc”由于其独特的创建时间而脱颖而出。此特定文件包含负责数据盗窃的主要函数。

  然后使用“ImageGrab”抓取截图,保存文件名为 “Screenshot (Username ).png.”,此外,它还与“和“jsonp”等合法网站建立连接,以检索系统的IP地址、国家名称和国家代码。它还从下列来源收集资料:

  MrAnon Stealer的支持通道如下图所示。该支持渠道推广其产品,提供增强的功能,并在“hxxp[:]//anoncrypter[.]com”上为所有相关工具提供购买页面

  攻击者在今年早些时候建立了网站“anonbin[.]ir”,如下图所示,并下载了所有相关文件。经过调查,我们发现了7月份使用cx_Freeze的类似打包文件。这些文件始终以基于Python的窃取程序为特征,由代码中共享的“HYDRA”标识标识,如下图所示。

  该活动最初在7月和8月传播Cstealer,但在10月和11月过渡到传播MrAnon Stealer。这种模式表明了一种战略方法,即继续使用钓鱼电子邮件来传播各种基于Python的窃取程序。

  该恶意软件使用PowerGUI和cx-Freeze工具创建一个复杂的过程,涉及执行文件和PowerShell脚本。攻击者还使用虚假错误消息等技巧来隐藏攻击活动,从特定域下载并提取文件,以运行有害的Python脚本。该脚本提取干净的DLL文件和名为“python.exe”的恶意软件,用来掩盖恶意有效负载MrAnon Stealer的加载。它从几个应用程序中窃取数据和敏感信息,然后将窃取的数据压缩并上传到公共文件共享网站和攻击者的Telegram频道,用户应小心网络钓鱼邮件和不清晰的PDF文件。

全网最佳IP代理服务商- 9.9元开通-稳定的代理服务
如果您从事外贸、海外视频博主、海外推广、海外广告投放,欢迎选择我们。
让您轻易使用国外主流的聊天软件、视频网站以及社交网络等等

标签: 谷歌VPN网址
返回列表

上一篇:上谷歌vpn吗

下一篇:熊猫 vpn360

相关文章

ios付费vpn软件哪个好

  谷歌10月9日宣布,將啟動旨在提高產品安全性的新計劃“Patch Rewards”(補丁獎勵)。據悉,為了減少開源軟件(OSS)的漏洞、使其變得更加可靠,谷歌將征集可作為實際預防對策使...

上谷歌vpn吗

  1月22日从工信部网站获悉,工信部决定自即日起至2018年3月31日,在全国范围内对互联网网络接入服务市场开展清理规范工作上谷歌vpn吗。其中工信部的通知还特别强调,未经批准不得自行建...

sinfor vpn 360wifi

  据国外媒体报道,谷歌9月20日宣布Google+社交网络向公众开放,此举意味着谷歌欲加强与Facebook的竞争。谷歌还在Google+推出了新功能,包括搜索跟烹饪和摄影等话题有关的信...

vpn 360wifi

  曾因隐瞒19项关联交易而涉嫌信息披露违规的ST高升,被众多投资者告上法庭,日前案情迎来新进展。   7月21日晚间,ST高升(000971)发布公告,2019年12月...