凭据窃取恶意软件使用的一种新发现的技术会强制用户在浏览器中输入登录凭据,从而使攻击者能够获取这些敏感数据。
安全研究人员于 2024 年 8 月 22 日发现了这种方法,该方法使用 AutoIt 脚本与 Stealc 恶意软件结合,利用浏览器功能来瞄准和破坏受害者的凭据存储。
该发现来自OALABS,情报由 Loader Insight Agency 分享,主要指向 Amadey 恶意软件部署。
OALABS研究|AutoIt凭证清除器 https://research.openanalysis.net/credflusher/kiosk/stealer/stealc/amadey/autoit/2024/09/11/cred-flusher.html
一旦 Amadey 感染系统,它就会部署 Stealc 和凭证刷新程序脚本来操纵受害者的浏览器。
此刷新程序会强制浏览器进入信息亭模式,限制导航并强迫用户输入登录信息。
输入的凭证会存储在浏览器中,然后可被 Stealc 恶意软件访问和提取。
强制窃取凭证
凭证刷新器策略会操纵受害者的浏览器以信息亭模式启动,专门针对 Google 等热门服务的登录页面。
信息亭模式会将浏览器全屏显示,禁用用户关闭或最小化窗口的功能,从而迫使他们输入凭证。
这种看似无害的策略大大提高了 Stealc 等凭证窃取恶意软件的成功可能性,该恶意软件会在受害者提交密码后检索存储的密码。
攻击链的关键细节包括:
-
Amadey 恶意软件首先感染受害者的系统。
-
Amadey 从远程服务器下载 Stealc 恶意软件。
-
然后部署 AutoIt 凭证刷新程序,通过在全屏信息亭模式下模拟合法登录环境来强迫用户输入凭证。
-
一旦提交凭证,Stealc 就会检索并提取它们。
此次攻击中使用的 AutoIt 脚本会确定系统上安装了哪种浏览器,然后强制其以信息亭模式导航到目标登录页面。
通过利用 AutoIt 的脚本功能,恶意软件会限制用户以常规方式关闭或与浏览器交互,从而增加他们输入凭据的可能性。
示例脚本显示了指向 Google 登录页面的 URL,但可以对其进行修改以针对任何服务。
该脚本通过 AutoIt2Exe 编译成二进制文件后,会检查是否存在 Chrome、Edge 或 Brave 等浏览器,并以信息亭模式启动相关浏览器。
如果用户尝试通过按 ESC 或 F11 等快捷键退出此模式,则脚本会忽略这些输入,并保持窗口处于活动状态,直到输入凭据为止。
更广泛的影响
Amadey 恶意软件因其模块化特性和投放各种有效载荷的能力而臭名昭著,现在它正在利用这种凭证刷新技术来提高其效力。
Amadey 通常以加载器的形式运行,这意味着它会将其他类型的恶意软件传送到受感染的系统。
而它使用 Stealc 进行凭证盗窃标志着多阶段攻击的一种日益增长的趋势。
鉴于 Chrome 和 Edge 等流行浏览器的广泛采用,此攻击很有可能危害广泛的用户,尤其是那些不熟悉将信息亭模式识别为攻击媒介的用户。
原文始发于微信公众号(网络研究观):新的 AutoIt 恶意软件迫使用户在自助服务终端模式下交出凭证
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论