基于Autohotkey的密码窃取器正在针对美国和加拿大的银行发起攻击

安全
AutoHotkey 是一款免费的、Windows平台下开放源代码的热键脚本语言。

[[373487]]

AutoHotkey 是一款免费的、Windows平台下开放源代码的热键脚本语言。

研究人员发现黑客正在传播一种用AutoHotkey (AHK)脚本语言编写的新证书窃取器,这是自2020年初开始的一项持续活动的一部分。

美国和加拿大的金融机构客户是此次攻击的主要目标,特别是针对银行,如丰业银行、加拿大皇家银行、汇丰银行、Alterna银行、第一资本银行、宏利人寿和EQ银行,目的就是窃取用户的银行卡号和密码,另外还包括一家印度银行:印度工业信贷投资银行。

AutoHotkey是一种面向Microsoft Windows的开源自定义脚本语言,旨在为宏创建和软件自动化提供简单的热键,允许用户在任何Windows应用程序中自动化重复的任务。

多阶段感染链开始于一个嵌入了Visual Basic for Applications (VBA) AutoOpen宏的带有恶意软件的Excel文件,该文件随后被用来通过合法的可移植AHK脚本编译器可执行文件(“adb.exe”)删除和执行下载程序客户端脚本(“adb.ahk”)。


下载程序客户端脚本还负责实现持久性,分析受害者,并从位于美国、荷兰和瑞典的命令与控制(C&C)服务器下载和运行额外的AHK脚本。

这个恶意软件的不同之处在于,它不是直接从C&C服务器接收命令,而是下载并执行AHK脚本来完成不同的任务。

趋势科技的研究人员在一份分析报告中表示:

“通过这样做,攻击者可以决定上传特定的脚本,为每个用户或用户组实现定制任务。这也防止了主要组件被公开,特别是向其他研究人员或沙箱披露。”

其中最主要的是一个证书窃取程序,目标是各种浏览器,如谷歌Chrome, Opera, Microsoft Edge等。安装完成后,攻击者还将尝试在受感染的计算机上下载SQLite模块(“sqlite3.dll”),并使用该模块对浏览器的应用程序文件夹中的SQLite数据库执行SQL查询。

在最后一步,攻击者从浏览器收集并解密凭据,并通过HTTP POST请求以纯文本形式将信息扩展到C&C服务器。

研究人员注意到恶意软件组件“在代码级别上井井有条”,建议使用说明(俄语编写)可能意味着攻击链创建背后的“雇用黑客”组织,并将其作为一种服务提供给他人。

研究人员总结道:

“通过在受害者的操作系统中使用缺乏内置编译器的脚本语言,加载恶意组件来分别完成各种任务,并频繁更改C&C服务器,攻击者已经能够在沙箱中隐藏他们的攻击意图。”

本文翻译自:https://thehackernews.com/2020/12/autohotkey-based-password-stealer.html如若转载,请注明原文地址。

 

责任编辑:姜华 来源: 嘶吼网
相关推荐

2020-12-22 10:02:44

网络攻击恶意软件网络安全

2024-02-28 17:56:08

2022-01-13 19:39:08

数据泄露网络安全信息安全

2021-12-02 18:38:04

关键基础设施攻击黑客

2020-07-17 11:29:17

黑客新冠疫苗恶意软件

2020-06-10 13:55:09

苹果Mac以旧换新

2022-04-12 15:18:22

网络安全松下加拿大

2021-11-22 14:48:53

加密货币攻击双因素认证

2020-07-17 16:21:34

黑客新冠疫苗网络攻击

2016-03-03 20:03:03

2022-03-02 11:20:49

加密货币工具美元

2023-10-12 18:17:59

2023-06-27 19:11:23

2020-08-17 11:42:42

网络攻击身份验证数据泄露

2015-06-19 09:17:03

2021-09-30 09:15:19

Sophosf攻击者ColdFusion

2022-01-17 00:02:37

数据库配置错误

2020-09-16 10:25:36

恶意软件Linux网络攻击

2020-09-18 11:19:03

恶意软件Linux网络攻击

2021-11-03 12:33:36

密码喷射攻击微软网络攻击
点赞
收藏

51CTO技术栈公众号