犯罪分子竟使用签名Rootkit窃取登录和付款信息-黑客接单平台

访客5年前黑客文章539
近期,研究人员发现有 *** 犯罪分子正在大规模的歹意活动中运用数字签名的Rootkit来盗取方针用户的登录凭据、付出信息以及浏览器历史记录,并以此来对交际 *** 用户进行 *** 欺诈以及歹意广告传达活动。 研究人员将此系列歹意活动命名为了“Scranos”,在此进犯活动中, Rootkit会要求方针用户装置一个视频驱动程序。装置完结后,它便会下载进犯者所设定的Payload。受此进犯影响的除了像Chrome、Chromium、Firefox、Opera、Edge和IE这些常用浏览器之外,还有Facebook、Amazon、Airbnb、Steam和Youtube这样的 *** 在线服务。 进犯方式新颖 研究人员表明,Rootkit签名所运用的证书很有或许是盗取来的。签名所用的数字证书来自于上海的一家健康办理咨询公司,而这家公司并未进入软件开发范畴。现在,该证书依然是有用的。 研究人员现在已将Scranos活动的【具体剖析陈述】发布了出来,并在陈述中具体介绍了此次进犯活动中所涉及到的进犯组件。 技术细节 进犯者在感染方针Windows体系时运用的是内存Rootkit,在完结感染时首要运用的是伪装成合法应用程序的电子书浏览器、视频播放器或反歹意软件产品。为了完结在方针主机上的耐久化感染,Scranos会在方针设备封闭之前向硬盘掩盖写入数据,并在完结后删去一切的Payload。并且在某些特殊情况下,Payload甚至会向合法进程“svchost.exe”中注入歹意下载器。 依据研究人员的剖析,现在该歹意软件样本的功用只包含:下载和运转Payload Dropper、完结耐久化感染,以及删去正在运用的文件(用于移除内存中的Payload)。 但研究人员表明,Rootkit下载器是一款多功用的歹意软件,它还能够从方才咱们说到的浏览器中提取方针用户的登录凭据,并运用歹意DLL文件来施行其他进犯。 感染规模 除了Youtube用户之外,很大一部分方针用户都来自于我国,其间包含广东、上海、江苏和浙江的数万名用户在内。 但研究人员也表明,Scranos活动现在仍在不断进化,而它的感染规模也现已扩张到了印度、罗马尼亚、巴西、法国、意大利和印度尼西亚等国家和地图。除此之外,依据研究人员对歹意软件样本的剖析,进犯者还有或许会在歹意软件中添加多种新式的感染组件。 Payload剖析 针对Youtube频道的Payload运用了Chrome的调试形式,并将本身从使命栏中躲藏,不过咱们仍是能够经过使命办理器来查看到相应歹意软件的活动。假如方针主机中没有装置Chrome,歹意软件会直接装置在方针体系中。 研究人员表明:“咱们在对一个Youtube页面及西宁剖析后,咱们发现歹意软件会先在Chrome中翻开一个URL,然后运用歹意Payload来操控Chrome在这个页面中进行各种操作:翻开一个视频,然后静音,并订阅该频道,最终点击歹意广告,而这些操作全部都是经过Chrome的调式指令完结的。” 在一天之内,YouTube Payload能够在后台悄然订阅许多的特定频道,每天大约能够给方针频道带来3100多个新订阅者。 用于装置浏览器插件的Payload能够进犯Chrome、Opera和IE等支撑Web页面JavaScript功用的浏览器。 在Chrome中,它能够Chrome Filter、Fierce-tips和PDF-Maker等插件,而最终一个现在依然能够在ChromeWeb商城中找到,并且装机量也达到了12万8千多。 Facebook *** 欺诈Payload担任发送老友恳求以及垂钓信息(歹意链接指向一个Android APK文件)。它能够从Firefox、Chrome以及其他根据Chromium的浏览器中盗取Cookie信息。 针对Edge浏览器,它会装置EdgeCookiesView这款东西,这款东西是Nirsoft开发的一款合法东西,而他所开发的东西是许多歹意软件开发人员曾经都运用过的。 针对Steam账号,它首要会运用初始下载器下载装置Rootkit以及其他组件。然后从头设置一个注册表键来存储Steam账号凭据。除了凭据数据之外,盗取的数据还包含体系中装置的游戏列表以及上一次游戏时刻等等。 研究人员表明,现在Scranos活动仍在继续进行中,并且进犯手法一直在不断进化晋级,并且影响规模也在逐渐扩展,其间绝大多数受影响的用户都是Windows 10用户。 完好剖析陈述:【点我获取[1][2]黑客接单网

相关文章

一分钟盗微信号方法,中国黑客联盟怎么联系,武汉黑客组织专门找小学生

</form>360移动安全团队剖析发现,道有道广告SDK使用静态和动态相结合的手法,与杀软特征进行持续性的对立,然后逃避杀软的查杀。 翻开 [我国菜刀] 衔接一句话木马;CVE-2019...

黑客接单棋牌游戏,20元黑客联系方式,找黑客盗抖音号

1)assert是函数,eval不是函数,是言语结构器 1. 修正DHCP服务的DNS,参数dnsserver和dnsserver2:好了,下面咱们开端让Burpsuite 主动调用Macros,并替...

黑客接单网删除照片_西安本地黑客怎么找

在一个典型的应用程序中,一切的作业都由主线程来处理。 我之前现已谈过了这个,主线程就像一个全栈开发者。 它担任JavaScript,DOM和布局。 SelectCache select_cache...

unsafe形式下的CSP Bypass

0x01 CSP介绍 CSP[0] 是由单词 Content Security Policy 的首单词组成,CSP旨在削减 (留意这儿是削减而不是消除) 跨站脚本进犯。CSP是一种由开发者界说的安全...

怎么偷偷同步微信,找黑客破解qq要多少钱,找黑客追回赌资

前一个寄存网卡接口、IP、子网掩码等,后一个主要是寄存DNS。 此外,AppUse预装了许多"hack me"运用,包含他们的服务端。 关于浸透测验者而言,在测验几个新东西或许技能以及一些意图时,有这...

PHAR反序列化拓展操作总结-黑客接单平台

近些阵子反序列化缝隙横行,看了几篇文章,整个缝隙发现进程对错常有意思的,所以期望总结下来,共享给我们一同研究讨论,如有缺乏还请多多纠正。 正文 phar RCE 2019年HITCON上,baby c...