Hackhound密码盗取软件卷土重来,用于工业间谍活动
E安全7月26日讯,McAfee的安全研究人员发现一个被劫持的网络服务器,用来托管不同的密码盗取C&C服务器,这些服务器曾被用来攻击多家公司实施工业间谍活动。
研究人员之所以能将所有线索关联起来,是因为攻击者疏忽细节,他们忘记从其中一个被劫持网络服务器中删除C&C服务器的ZIP安装包。这个被劫持网络服务器曾被用来托管数个C&C服务器。
通过查看此ZIP中的文件以及C&C服务器的源代码,McAfee研究人员快速识别出IRS Stealer的服务器端组件。ISR Stealer是Hackhound 盗号恶意程序的修改版本。Hackhound 是2009年首次被发现的一款老旧恶意软件。
攻击者瞄准机械配件公司
研究人员发现,攻击者使用IRS Stealer恶意软件生成器创建密码盗取程序,从包括Internet Explorer、Firefox、Google Chrome、 Opera、 Safari、 Yahoo Messenger、MSN Messenger、Pidgin、FileZilla、 Internet Download Manager、 JDownloader和Trillian等应用程序盗取登录凭证。
通过鱼叉式钓鱼电子邮件,攻击者将这款自定义密码盗取程序以RAR或Z文件散播发送至机械配件公司。
这些RAR与Z文件包含可加载密码盗取恶意软件的可执行文件。如果受害者下载RAR/Z文件并执行EXE文件,此恶意软件会收集所有可用密码并将数据以HTTP请求提交至C&C服务器。
攻击活动始于2016年1月
只有当用户代理字符串为"HardCore Software For : Public,"(针对客户端组件)时,IRS Stealer服务器端组件才会接收提交的数据,之后数据会保存在本地一个INI文件中。
查看历史数据,McAfee研究人员发现攻击活动实际开始于2016年1月,当时攻击者劫持多个网站托管他们的C&C服务器。
在这些被劫持的网站中,研究人员发现超过十个C&C服务器从不同的受害者接收数据,这表明罪犯不只针对一家公司,而是某个具体行业的一系列公司。
E句话
到底是“谁”在推动安全行业的进步!
E安全
账号ID:EAQapp
全球网络安全资讯新传媒
专注提供最新、最全、最快的网络安全资讯!
点击右上
点击
E安全客服&投稿邮箱:eapp@easyaq.com
点击下方”阅读原文“即可下载安装E安全app