密码窃取者隐藏在付款文件中并寻找凭证

阅读时间： 3 分钟

网络罪犯对用户凭据的巨大追捧正在迅速发展。 他们的策略通常保持不变：吸引受害者的注意力，使用社交工程技术使她运行恶意文件，然后窃取登录名和密码。 但是战术和 恶意软件 黑客不断变化。 让我们详细考虑这种攻击的最新鲜的例子，它是由Comodo反恶意软件工具最近截获的密码窃取程序的新变体。

伪装

如您所见，它包含一些操纵受害者的社会工程技巧。 让我们仔细看看它们。

首先，它是消息的主题。 罕见的人会错过与她的钱有关的信息。 因此，犯罪者引起了受害者的注意。 他们可以确保大多数收件人都会阅读该消息。

接下来，网络犯罪分子将文件命名为“ PAYMENT-PDF”，以增加可信度（实际上，这是一个.ZIP存档，但许多非技术人员可能不会注意到这一点）。 然后，为了模仿真实性，他们添加了“银行电传副本”的照片。 图片价值一千字，因此也增加了受害者打开文件的机会。

现在，让我们看看现实中“ PAYMENT-PDF”中隐藏了什么？

恶意软件

正如Comodo分析师透露的那样，“ PAYMENT-PDF”是一个包含混淆的VBScript的.html文件。 如果用户运行它，脚本将从以下位置下载并执行可移植可执行文件： hdoc.duckdns.org:1133/PAYMENT.exe

恶意软件会在受感染的计算机上暗中行动。 首先，它将发布有关PC上安装的应用程序的信息。 它选择浏览器作为第一个目标，并尝试从中提取登录名，密码和其他私有数据。

值得注意的是， 恶意软件攻击 各种各样的浏览器：Mozilla Firefox，IceDragon，Safari，K-Meleon，SeaMonkey，Flock，BlackHawk，Chrome，Nichrome，RockMeIt，Spark，Chromium，Titan Browser，Torch，Yandex，Epic，Vivaldi，Chromodo，Superbird，Coowon ，野马，360浏览器，Citrio，轨道，铱，歌剧，QupZilla等。

之后，它读取每个应用程序的数据文件以查找系统中保存的所有FTP和SSH帐户。 确切地说，它针对的应用程序有MyFTP，FTPBox，sherrodFTP，FTP Now，Xftp，EasyFTP，SftpNetDrive，AbleFTP，JaSFtp，FTPInfo，LinasFTP，Filezilla，Staff-FTP，ALFTP，WinSCP，FTPGetter，SmartFTP等。

最后，该恶意软件搜索各种电子邮件客户端（FoxMail，Thunderbird，PocoMail，IncrediMail，Outlook等）以从中提取帐户信息。

收集所有数据后，密码窃取程序将其发送到网络罪犯的服务器 hta.duckdns.org/excel/fre.php.

那是可悲的决赛。 现在，受害者的所有凭据都在攻击者的手中，她甚至没有任何猜测。 不幸的是，当她意识到发生了什么事时，采取救援行动可能为时已晚……

热点图和攻击细节

如您所见，网络犯罪分子使用电子邮件“ hnym.hnyemei@gmail.com”从位于意大利的IP 80.211.7.236进行了攻击。 攻击于18年2018月14日世界标准时间28:20开始，并于2018年07月23日世界标准时间XNUMX:XNUMX结束。

“在里面 Comodo 1年第一季度报告 我们指出了密码盗用者的激增，该案证实了这一趋势在继续增长。 这种恶意软件的设计并不是太复杂，但后果却非常危险。” Comodo负责人Fatih Orhan说道。 威胁研究实验室。 “其偷偷摸摸的行为使攻击者暗中提供其恶意活动，因此受害者经常不知道自己被黑客入侵，直到犯罪者使用被盗的凭据为止。

最好事先考虑一下保护措施，以防止您的网络或PC被恶意软件入侵，而不是后悔不这样做。 一个准备得更好的人赢得了这场战斗。 就是这样。 Comodo技术保护了我们的客户免受攻击，并使网络犯罪分子空无一人。

Comodo安全地生活！

开启免费体验 免费获取即时安全评分

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
• Sumber: https://blog.comodo.com/email-security/password-stealer-hides-and-hunts-for-credentials/