查看原文
其他

Hackhound密码盗取软件卷土重来,用于工业间谍活动

2016-07-26 E安全 E安全

E安全726日讯,McAfee的安全研究人员发现一个被劫持的网络服务器,用来托管不同的密码盗取C&C服务器,这些服务器曾被用来攻击多家公司实施工业间谍活动。

研究人员之所以能将所有线索关联起来,是因为攻击者疏忽细节,他们忘记从其中一个被劫持网络服务器中删除C&C服务器的ZIP安装包。这个被劫持网络服务器曾被用来托管数个C&C服务器。

通过查看此ZIP中的文件以及C&C服务器的源代码,McAfee研究人员快速识别出IRS Stealer的服务器端组件。ISR Stealer是Hackhound 盗号恶意程序的修改版本。Hackhound 是2009年首次被发现的一款老旧恶意软件。

攻击者瞄准机械配件公司

研究人员发现,攻击者使用IRS Stealer恶意软件生成器创建密码盗取程序,从包括Internet Explorer、Firefox、Google Chrome、 Opera、 Safari、 Yahoo Messenger、MSN Messenger、Pidgin、FileZilla、 Internet Download Manager、 JDownloader和Trillian等应用程序盗取登录凭证。

通过鱼叉式钓鱼电子邮件,攻击者将这款自定义密码盗取程序以RAR或Z文件散播发送至机械配件公司。

这些RAR与Z文件包含可加载密码盗取恶意软件的可执行文件。如果受害者下载RAR/Z文件并执行EXE文件,此恶意软件会收集所有可用密码并将数据以HTTP请求提交至C&C服务器。

攻击活动始于2016年1月

只有当用户代理字符串为"HardCore Software For : Public,"(针对客户端组件)时,IRS Stealer服务器端组件才会接收提交的数据,之后数据会保存在本地一个INI文件中。

查看历史数据,McAfee研究人员发现攻击活动实际开始于2016年1月,当时攻击者劫持多个网站托管他们的C&C服务器。

在这些被劫持的网站中,研究人员发现超过十个C&C服务器从不同的受害者接收数据,这表明罪犯不只针对一家公司,而是某个具体行业的一系列公司。

E句话

到底是“谁”在推动安全行业的进步!


E安全

账号ID:EAQapp

全球网络安全资讯新传媒

专注提供最新、最全、最快的网络安全资讯!

点击右上分享到:QQ空间朋友圈

点击查看资料,免费关注
E安全客服&投稿邮箱:eapp@easyaq.com

点击下方”阅读原文“即可下载安装E安全app

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存