E安全7月26日讯，McAfee的安全研究人员发现一个被劫持的网络服务器，用来托管不同的密码盗取C&C服务器，这些服务器曾被用来攻击多家公司实施工业间谍活动。

研究人员之所以能将所有线索关联起来，是因为攻击者疏忽细节，他们忘记从其中一个被劫持网络服务器中删除C&C服务器的ZIP安装包。这个被劫持网络服务器曾被用来托管数个C&C服务器。

通过查看此ZIP中的文件以及C&C服务器的源代码，McAfee研究人员快速识别出IRS Stealer的服务器端组件。ISR Stealer是Hackhound 盗号恶意程序的修改版本。Hackhound 是2009年首次被发现的一款老旧恶意软件。

攻击者瞄准机械配件公司

研究人员发现，攻击者使用IRS Stealer恶意软件生成器创建密码盗取程序，从包括Internet Explorer、Firefox、Google Chrome、 Opera、 Safari、 Yahoo Messenger、MSN Messenger、Pidgin、FileZilla、 Internet Download Manager、 JDownloader和Trillian等应用程序盗取登录凭证。

通过鱼叉式钓鱼电子邮件，攻击者将这款自定义密码盗取程序以RAR或Z文件散播发送至机械配件公司。

这些RAR与Z文件包含可加载密码盗取恶意软件的可执行文件。如果受害者下载RAR/Z文件并执行EXE文件，此恶意软件会收集所有可用密码并将数据以HTTP请求提交至C&C服务器。

攻击活动始于2016年1月

只有当用户代理字符串为"HardCore Software For : Public,"（针对客户端组件）时，IRS Stealer服务器端组件才会接收提交的数据，之后数据会保存在本地一个INI文件中。

查看历史数据，McAfee研究人员发现攻击活动实际开始于2016年1月，当时攻击者劫持多个网站托管他们的C&C服务器。

在这些被劫持的网站中，研究人员发现超过十个C&C服务器从不同的受害者接收数据，这表明罪犯不只针对一家公司，而是某个具体行业的一系列公司。