后期阶段: 将一个或多个可执行档丢到受感染的设备上,并执行一系列命令,包括有效载荷传递、防御规避、持久化、C2 通讯和资料外洩。即使重新启动后,受影响的设备仍然处于感染状态。
攻击目标与资料窃取
这次攻击的目标广泛,涵盖个人以及各种组织和行业。这种不分青红皂白的做法表明,这是一场机会主义的活动,旨在诱捕任何可能的使用者,而不是针对特定的个人、组织或行业。
被窃取的资料包括储存在受感染电脑上的浏览器档案,这些档案可能包含登入 Cookie、密码、浏览历史记录和其他敏感资料。具体路径如下:
\\\\AppData\\\\Roaming\\\\Mozilla\\\\Firefox\\\\Profiles\\\\.default-release\\\\cookies.sqlite
\\\\AppData\\\\Roaming\\\\Mozilla\\\\Firefox\\\\Profiles\\\\.default-release\\\\formhistory.sqlite
\\\\AppData\\\\Roaming\\\\Mozilla\\\\Firefox\\\\Profiles\\\\.default-release\\\\key4.db
\\\\AppData\\\\Roaming\\\\Mozilla\\\\Firefox\\\\Profiles\\\\.default-release\\\\logins.json
\\\\AppData\\\\Local\\\\Google\\\\Chrome\\\\User Data\\\\Default\\\\Web Data
\\\\AppData\\\\Local\\\\Google\\\\Chrome\\\\User Data\\\\Default\\\\Login Data
\\\\AppData\\\\Local\\\\Microsoft\\\\Edge\\\\User Data\\\\Default\\\\Login Data
此外,储存在微软 OneDrive 云端服务上的档案也成为攻击目标。微软表示,该恶意软件还会检查是否存在加密货币钱包,包括 Ledger Live、Trezor Suite、KeepKey、BCVault、OneKey 和 BitBox,这表明攻击者有窃取金融资料的意图。
恶意广告来源与防御措施
微软怀疑託管恶意广告的网站是提供未经授权内容的串流媒体平台,例如 movies7[.]net 和 0123movie[.]art。目前,Microsoft Defender 已经可以检测到攻击中使用的档案,其他恶意软件防御应用程式也可能具备相同能力。
微软建议使用者查看其文章末尾的入侵指标,并採取预防措施,以避免成为类似恶意广告活动的受害者。
资料来源: arstechnica