Uptycs 威脅研究團(tuán)隊報告稱,發(fā)現(xiàn)了一個名為 Meduza Stealer 的新型惡意軟件,專門針對 Windows 用戶和組織。
Meduza Stealer 旨在全面竊取數(shù)據(jù),包括竊取用戶的瀏覽活動、提取大量與瀏覽器相關(guān)的數(shù)據(jù)。范圍涵蓋關(guān)鍵的登錄憑據(jù)到有價值的瀏覽歷史記錄和書簽等,沒有任何數(shù)字工件是安全的;甚至加密錢包擴(kuò)展、密碼管理器和 2FA 擴(kuò)展也容易受到攻擊。“如果不加以控制,受影響者可能會遭受嚴(yán)重后果,包括經(jīng)濟(jì)損失和可能對組織產(chǎn)生深遠(yuǎn)影響的大規(guī)模數(shù)據(jù)泄露。”
報告指出,Meduza Stealer 的管理員一直在使用 “復(fù)雜的營銷策略” 在推廣該惡意軟件。他們使用了一些業(yè)界最知名的防病毒軟件對 Meduza 竊取文件進(jìn)行靜態(tài)和動態(tài)掃描。隨后分享檢測結(jié)果的屏幕截圖稱,這種強(qiáng)大的惡意軟件可以逃避頂級防病毒解決方案的檢測。
Meduza Stealer 的狡猾之處在于其操作設(shè)計。該二進(jìn)制文件沒有采用混淆技術(shù),因此更難識別和追蹤。此外,它在開始從受害者機(jī)器上竊取數(shù)據(jù)之前,會設(shè)法與攻擊者的服務(wù)器建立連接。如果連接失敗,它會立即終止,從而使增加追蹤的難度。
為了吸引潛在客戶,其通過網(wǎng)絡(luò)面板提供被盜數(shù)據(jù)的訪問權(quán)限;向潛在客戶展示了不同的訂購選項:一個月 199 美元、三個月 399 美元或終身計劃。用戶訂閱后即可完全訪問 Meduza Stealer 網(wǎng)絡(luò)面板,該面板提供受感染計算機(jī)上的 IP 地址、計算機(jī)名稱、國家名稱、存儲密碼數(shù)量、錢包和 cookie 等信息。然后訂閱者可以直接從網(wǎng)絡(luò)面板下載或刪除被盜數(shù)據(jù),而數(shù)據(jù)刪除功能可以保證其他訂閱者無法使用該信息。
一旦成功滲透到機(jī)器中,Meduza Stealer 就會開始行動。它執(zhí)行的第一步是地理位置檢查,如果受害者的位置在竊取者預(yù)定義的排除國家列表中(俄羅斯、哈薩克斯坦、白俄羅斯、格魯吉亞、土庫曼斯坦、烏茲別克斯坦、亞美尼亞、吉爾吉斯斯坦、摩爾多瓦和塔吉克斯坦),惡意軟件操作會立即中止。
但是如果不在列表中,Meduza Stealer 會檢查攻擊者的服務(wù)器是否處于活動狀態(tài)。如果服務(wù)器無法訪問,竊取者也會立即終止其活動。如果位置檢查和服務(wù)器可訪問性這兩個條件都有利,那么竊取者就會繼續(xù)收集大量信息;包括收集系統(tǒng)信息、瀏覽器數(shù)據(jù)、密碼管理器詳細(xì)信息、采礦相關(guān)注冊表信息以及已安裝游戲的詳細(xì)信息。
研究人員指出,該惡意軟件收集的各種數(shù)據(jù)類型表明,感染具有廣泛的潛在影響;因為它不僅針對個人和財務(wù)數(shù)據(jù),還針對特定系統(tǒng)和潛在的專有信息。收集到的數(shù)據(jù)被迅速上傳到攻擊者的服務(wù)器,加劇了漏洞發(fā)生的速度以及對有效檢測和保護(hù)措施的迫切需要。
為了防御 Meduza Stealer 等惡意軟件攻擊,建議:
定期安裝操作系統(tǒng)、瀏覽器和已安裝應(yīng)用程序的更新,以修補(bǔ)惡意軟件可以利用的漏洞。
下載文件或打開電子郵件附件時要小心,尤其是來自未知來源的文件或打開電子郵件附件時。打開文件之前使用安全軟件掃描文件。
為所有帳戶(包括瀏覽器、電子郵件和加密貨幣錢包)采用強(qiáng)大而獨(dú)特的密碼。考慮使用密碼管理器來安全地存儲和管理密碼。
盡可能啟用 2FA,為帳戶添加額外的安全層。即使密碼被泄露,這也有助于防止未經(jīng)授權(quán)的訪問。
僅安裝來自受信任來源的瀏覽器擴(kuò)展。定期檢查并刪除不必要或可疑的擴(kuò)展程序,以最大限度地降低惡意軟件干擾的風(fēng)險。
密切關(guān)注財務(wù)賬戶,包括加密貨幣錢包,并定期查看交易歷史記錄是否有任何可疑活動。立即報告任何未經(jīng)授權(quán)的交易或安全漏洞。
-
WINDOWS
+關(guān)注
關(guān)注
3文章
3524瀏覽量
88430 -
瀏覽器
+關(guān)注
關(guān)注
1文章
1016瀏覽量
35276 -
惡意軟件
+關(guān)注
關(guān)注
0文章
34瀏覽量
8955
原文標(biāo)題:新型Windows惡意軟件盜取用戶大量數(shù)據(jù)
文章出處:【微信號:OSC開源社區(qū),微信公眾號:OSC開源社區(qū)】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論