窃取信息的恶意软件TinyNuke在一项针对法国用户的新攻击中重新出现,该攻击向企业和从事制造、技术、建筑和商业服务的个人发送账单陷阱的电子邮件。 此攻击的目标是窃取凭据和其他私人信息,并在受损系统上安装额外的有效负载。
TinyNuke 的重新出现
TinyNuke恶意软件活动最早出现在2017年,在2018年活动最为频繁,然后在2019年大量减少活动,在2020年几乎消失。 在2021再次发现恶意软件部署的新攻击令人惊讶,但并非完全出乎意料。
Proofpoint一直关注这些活动,根据其研究人员的说法,这种重新出现通过两类不同的活动表现出来,分别是C2基础设施有效载荷和陷阱诱惑。 这也可能表明恶意软件由两个不同的攻击者使用,一个与TinyNuke最初的操作者相关,另一个与通常使用商业工具的操作者相关。
最后,TinyNuke与2018年的PyLocky分发或任何其他勒索软件感染没有相似之处。
托管在合法站点上的有效负载
攻击者通过合法的法国网站来托管有效负载URL,而可执行文件则被伪装成无害的软件。
对于C2通信,最近的攻击活动使用Tor,这与其中一个字符串“nikoumouk”使用的方法相同, 而“nikoumouk”在这些通信中使用的方法与2018年的分析中发现的俚语相同,我们可以进一步将该攻击活动与最初的攻击者联系起来。
“Proofpoint研究人员发现字符串“nikoumouk”被发送到C2服务器,但目的不明。根据信息共享合作伙伴和开源信息,攻击者在2018年以来的C2通信活动中使用了该字符串,”Proofpoint的报告解释道。
“该字符串在流行阿拉伯语中含侮辱意思,主要用于欧洲讲法语的郊区。”
在当前的攻击活动中,电子邮件包含下载ZIP文件的URL。这些ZIP文件包含一个JavaScript文件,该文件将执行PowerShell命令以下载和执行TinyNuke恶意软件。
就功能而言,TinyNuke loader可以通过Firefox、Internet Explorer和Chrome的表单抓取和web注入功能窃取凭据,还可以安装其他有效负载。
通过添加一个新的注册表项来保证持久性,如下所示:
Persistence is secured by adding a new registry key as shown below:
key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\x00E02BC647BACE72A1\xe4\x8d\x82
data: C:\Users\[User]\AppData\Roaming\E02BC647BACE72A1\firefox.exe
Μise en garde
虽然正在进行的攻击活动使用特定的诱饵,攻击者可以更新他们的信息,以呈现新的受害者。此外,如果有新的攻击者使用TinyNuke,这可能意味着原始作者在暗网上出售它,或者它的代码可能在几年前在GitHub上发布后独立流通。不管怎样,它的部署次数可能会增加更多,针对目标部署的电子邮件诱饵的范围可能会变得非常广泛。
因此,保持警惕和避免点击嵌入式按钮是非常重要的,一旦点击嵌入式按钮,将导致网站托管恶意可执行压缩文件。由于这些站点在其他方面是合法的,您的Internet安全解决方案可能不会引起任何警告,因此需要您极端谨慎。
原文链接:https://hackernews.cc/archives/37004
*来自: HackerNews.cc