网络安全研究人员发现了一种新的有针对性的垃圾邮件操作,部署了窃取密码的恶意软件。
Sophos X-Ops发现了该活动,并在发布的一份报告中进行了描述。
根据该报告,攻击者采用了社会工程策略,在发送恶意链接之前,利用电子邮件投诉服务问题或请求信息来与目标建立信任。
这种方法反映了此前被发现的一项活动,该活动是在2023年4月美国联邦纳税申报截止日期之前进行的。
Sophos的研究人员安德鲁·勃兰特和肖恩·加拉格尔解释说:“攻击者的社会工程策略涉及范围很广,从投诉客人入住期间发生的暴力事件或盗窃,到要求提供有特殊需求的客人的住宿信息。”
一旦酒店回复了最初的询问,威胁参与者就会发送后续消息,其中包含所谓的文档或证据,其中包含隐藏在密码保护存档文件中的恶意软件有效载荷。
攻击者使用123456这样的密码,共享了来自公共云存储服务(如Google Drive)的文件,使受害者能够打开档案。
值得注意的是,恶意软件的有效载荷被设计为逃避检测。它们是大小超过600 MB的大文件,大部分内容都是空格填充零。
此外,恶意软件使用代码验证证书签名,其中一些是在活动期间获得的新证书,而另一些则是假的。
该恶意软件被识别为Redline Stealer或Vidar Stealer变种,连接到电报频道,用于指挥和控制目的。它会泄漏数据,包括桌面屏幕截图和浏览器信息,而不会在主机上建立持久性。
Sophos X-Ops表示,他们已经从与此活动相关的云存储中检索了50多个独特的样本,并且已经在他们的GitHub存储库中发布了折衷指标。
报告中写道:“我们还报告了各种托管恶意软件的云存储提供商的恶意链接。大多数样本在Virustotal中几乎没有检测到病毒。”
