近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现KatzStealer恶意软件持续活跃,可导致敏感信息窃取。
KatzStealer是一款采用恶意软件即服务(MaaS)模式的恶意软件,主要通过钓鱼邮件或被篡改的合法软件包进行传播。攻击者通过投递包含混淆JavaScript代码的恶意GZIP压缩包以绕过安全检测,利用系统工具cmstp.exe(系统配置管理器)绕过用户账户控制(UAC)获取管理员权限,创建计划任务实现持久化驻留,并借助进程镂空技术注入MSBuild.exe(用于构建应用程序)进程,伪装成可信应用程序运行。植入成功后,可窃取浏览器密码、会话令牌、CVV码、VPN/邮件凭证、Discord/Telegram令牌及多种加密货币钱包数据,甚至篡改Discord文件实现自动重感染,窃取的数据最终通过伪装成Chrome代理流量的隐蔽通道传输。
建议相关单位及用户立即组织排查,及时更新防病毒软件;定期实施全盘查杀,检测潜在感染;关闭非必要系统服务及端口,降低攻击面;启用进程白名单防护,限制可疑程序执行;隔离异常网络流量,防范C2服务器通信;加强网络安全意识培训,防范网络攻击风险。
原文始发于微信公众号(网络安全威胁和漏洞信息共享平台):关于防范KatzStealer信息窃取恶意软件的风险提示
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论