又一全新惡意軟件曝光����!專門針對(duì)Windows�����、Linux 和 macOS 用戶
近日,網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一個(gè)利用「Cheana Stealer」惡意軟件的復(fù)雜網(wǎng)絡(luò)釣魚(yú)活動(dòng)����,該惡意軟件是通過(guò)一個(gè) VPN 釣魚(yú)網(wǎng)站傳播的。這次攻擊的主要目標(biāo)是各種操作系統(tǒng)的用戶���,包括 Windows���、Linux 和 macOS。
Cheana Stealer 活動(dòng)是通過(guò)一個(gè)虛假的 VPN 提供商的釣魚(yú)網(wǎng)站實(shí)施的�。該網(wǎng)站模仿 WarpVPN 服務(wù)的外觀,專門設(shè)計(jì)用于引誘個(gè)人下載不同操作系統(tǒng)的 VPN 應(yīng)用程序��。
攻擊者為每個(gè)目標(biāo)操作系統(tǒng)制作了不同的 Cheana 竊取程序二進(jìn)制文件����,展示了他們最大限度地?cái)U(kuò)大影響范圍的努力。
Cheana 竊取程序活動(dòng)概述
據(jù) Cyble 研究與情報(bào)實(shí)驗(yàn)室(CRIL)稱�,Cheana Stealer 惡意軟件通過(guò)不同的方法針對(duì)多個(gè)操作系統(tǒng)的用戶��。在 Windows 系統(tǒng)中�,惡意軟件通過(guò) PowerShell 腳本發(fā)送,該腳本會(huì)執(zhí)行一個(gè)名為 install.bat 的批處理文件���。
Windows 安裝說(shuō)明(來(lái)源:Cyble)
該腳本首先會(huì)檢查受害者系統(tǒng)中是否存在 Python�,如果未找到,則會(huì)安裝 Python 以及 pip 和 virtualenv 等工具��。
然后再安裝一個(gè)名為 hclockify-win 的惡意 Python 軟件包����,目的是竊取敏感信息。該軟件包以加密貨幣瀏覽器擴(kuò)展和獨(dú)立錢包為目標(biāo)�,將竊取的數(shù)據(jù)壓縮成 ZIP 文件,發(fā)送到攻擊者的命令和控制 (C&C) 服務(wù)器��。此外����,它還會(huì)從基于 Chromium 的瀏覽器和火狐瀏覽器中提取存儲(chǔ)的瀏覽器密碼。
在 Linux 系統(tǒng)上�����,Cheana 竊取程序通過(guò) curl 命令分發(fā)���,該命令可下載名為 install-linux.sh 的腳本����。
Linux 安裝說(shuō)明(來(lái)源:Cyble)
該腳本會(huì)檢索一個(gè)用于跟蹤的唯一 ID,并收集敏感信息����,包括瀏覽器數(shù)據(jù)、加密貨幣錢包詳情和 SSH 密鑰����,然后將這些信息外泄到攻擊者的服務(wù)器上。
對(duì)于 macOS 用戶�,惡意軟件通過(guò)名為 install.sh 的腳本分發(fā)。
MacOS 安裝說(shuō)明(來(lái)源:Cyble)
該腳本通過(guò)虛假提示欺騙用戶輸入憑證�����,然后收集瀏覽器登錄數(shù)據(jù)����、macOS 密碼和鑰匙串信息。這些詳細(xì)信息隨后會(huì)被發(fā)送到 C&C 服務(wù)器��。
在所有平臺(tái)上����,Cheana Stealer 都是利用系統(tǒng)漏洞和用戶信任來(lái)竊取敏感信息的�,這凸顯了采取更好的安全措施的必要性����。
Telegram 頻道的作用和技術(shù)分析
Telegram 配置文件更改(來(lái)源:Cyble)
與「Cheana Stealer」活動(dòng)相關(guān)的釣魚(yú)網(wǎng)站連接在一個(gè)擁有 54000 多名用戶的 Telegram 頻道賬戶上��。據(jù)悉�����,該頻道從 2018 年起就比較活躍�����,期間運(yùn)營(yíng)商經(jīng)歷了數(shù)次變更���,釣魚(yú)網(wǎng)站于 2021 年被添加到其簡(jiǎn)介中�����。在開(kāi)始傳播 Cheana 偷竊器之前���,該頻道在傳播惡意內(nèi)容和贏得用戶信任方面發(fā)揮了重要作用。
Telegram 頻道最初提供看似免費(fèi)的 VPN 服務(wù)�,并利用這一「幌子」建立了一定的信譽(yù)。不過(guò)在建立用戶群之后�,該頻道就會(huì)立即開(kāi)始推廣釣魚(yú)網(wǎng)站��,利用獲得的信任傳播惡意軟件�。
Cheana Stealer 活動(dòng)采用了精心設(shè)計(jì)的技術(shù)策略�����。釣魚(yú)網(wǎng)站冒充 WarpVPN����,為各種操作系統(tǒng)提供詳細(xì)但具有欺騙性的安裝說(shuō)明。
2021 年的 Warpvpn 網(wǎng)站(來(lái)源:Cyble)
這些說(shuō)明會(huì)引導(dǎo)用戶安裝偽裝成合法應(yīng)用程序的惡意軟件�。
惡意軟件是為 Windows、Linux 和 macOS 定制的���,每個(gè)版本都旨在提取特定的敏感數(shù)據(jù)���。它能順利集成到受害者的系統(tǒng)中,確保有效收集數(shù)據(jù)��。
一旦收集到數(shù)據(jù)���,竊取的數(shù)據(jù)就會(huì)被存檔�,并通過(guò) HTTPS 發(fā)送到攻擊者的服務(wù)器,從而在傳輸過(guò)程中確保數(shù)據(jù)安全�����,增加檢測(cè)難度��。這種復(fù)雜的方法凸顯了用戶保持警惕和采用強(qiáng)大安全措施的必要性���。
環(huán)緩解略
為防范類似 Cheana Stealer 活動(dòng)的網(wǎng)絡(luò)釣魚(yú)攻擊,用戶應(yīng)遵循幾項(xiàng)關(guān)鍵建議:
首先���,始終從信譽(yù)良好的來(lái)源下載 VPN 應(yīng)用程序和其他軟件��,以避免惡意版本�。宣傳活動(dòng)可以幫助用戶識(shí)別網(wǎng)絡(luò)釣魚(yú)企圖并驗(yàn)證 VPN 服務(wù)的合法性�。
此外,部署先進(jìn)的端點(diǎn)保護(hù)解決方案有助于檢測(cè)和阻止惡意腳本���。定期更新這些工具對(duì)保持其有效性至關(guān)重要��。使用安全工具監(jiān)控網(wǎng)絡(luò)流量可以防止與已知的命令和控制服務(wù)器通信����,從而增加另一層防御。啟用多因素身份驗(yàn)證(MFA)提供了一個(gè)額外的安全層����,即使憑證被泄露,也能降低未經(jīng)授權(quán)訪問(wèn)的風(fēng)險(xiǎn)����。
同時(shí),制定完善的事件響應(yīng)計(jì)劃也至關(guān)重要�����。該計(jì)劃應(yīng)定期更新����,以便迅速處理和管理惡意軟件感染。Cheana Stealer 活動(dòng)是一種復(fù)雜的網(wǎng)絡(luò)釣魚(yú)攻擊���,它通過(guò)偽裝成合法的 VPN 服務(wù)來(lái)利用用戶的信任�。
針對(duì)不同操作系統(tǒng)使用定制的惡意軟件以及策略性地使用 Telegram 頻道凸顯了該活動(dòng)的復(fù)雜性�����。
參考資料:https://thecyberexpress.com/cheana-stealer-campaign/
來(lái)源:FreeBuf
在線咨詢
在線咨詢
0371-63319761