更多全球网络安全资讯尽在邑安全
网络安全研究人员发现了一个复杂的恶意软件活动,该活动通过恶意浏览器扩展针对巴西用户,旨在窃取敏感的银行凭证和财务数据。
该作被称为“Operation Phantom Enigma”,代表了银行木马演变的重大升级,它利用浏览器扩展作为主要攻击媒介来绕过传统的安全措施并从主要金融机构收集身份验证数据。
该活动采用多管齐下的方法,通过包含伪装成合法政府文件的恶意 Microsoft 安装程序 (MSI) 文件的网络钓鱼电子邮件分发恶意软件。
一旦执行,该恶意软件就会在多个浏览器(包括 Google Chrome、Microsoft Edge 和 Brave)上部署扩展程序,从而建立对受害者系统的持续访问,同时在很大程度上不会被传统安全解决方案检测到。
Positive Technologies 分析师在发现广泛的网络基础设施并分析了与该作相关的多个恶意软件样本后,发现了这一活动。
这种攻击的复杂性不仅限于简单的凭证盗窃,还结合了先进的规避技术,并针对特定的巴西银行安全软件。
该恶意软件在进行感染之前专门检查是否存在 Warsaw Technology,这是巴西广泛使用的银行安全解决方案。
这种有针对性的方法表明攻击者对巴西金融生态系统有深入的了解,并相应地定制了他们的工具。
该活动已成功入侵 70 多家公司,恶意扩展程序在被删除之前从 Chrome Web Store 下载了 722 次。
地理分布显示,巴西的重点集中在巴西,但其基础设施表明有更广泛的国际扩张潜力。
感染机制和持久性策略
该恶意软件的感染链展示了非凡的技术复杂性,从建立多个持久性机制的 PowerShell 脚本开始。
攻击链
主脚本创建用于自动启动的注册表项,同时通过注册表作禁用用户帐户控制 (UAC)。
关键代码片段揭示了持久性机制:-
$registryPath = "HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun"$name = "PWSecurity"$scriptPath = "$env:APPDATA$nomebat"New-ItemProperty -Path $registryPath -Name $name -Value $scriptPath -PropertyType String -Force
此代码片段说明了恶意软件如何通过创建标记为“PWSecurity”的注册表运行密钥来建立持久性,该注册表运行密钥会在系统启动时自动执行恶意脚本。
该恶意软件进一步采用虚拟化检测来避免分析,在继续安装之前使用 WMI 查询来识别沙箱环境。
扩展部署过程涉及直接注册表修改,通过纵 Chrome 的策略设置强制安装浏览器扩展。
该恶意软件连接到 IP 地址为 142.54.185.178 的命令和控制服务器,处理命令,包括用于扩展安装的“START_SCREEN”和用于验证部署成功的“CHECAEXT”。
这种复杂的方法使攻击者能够保持持续访问,同时避免通过传统的安全监控系统进行检测。
原文来自: cybersecuritynews.com
原文链接: https://cybersecuritynews.com/new-malware-attack-deploys-malicious-chrome/
原文始发于微信公众号(邑安全):新的恶意软件攻击部署恶意的 Chrome 和 Edge 扩展来窃取敏感数据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论