404 Keylogger最新木马,盗取受害者浏览器网站帐号和密码

2019-12-13 6,590

前言

近日深信服安全团队捕获到一个最新的404 Keylogger木马变种,通过OFFICE文档嵌入恶意宏代码进行传播,盗取受害者浏览器的网站帐号和密码,深信服安全团队对此样本进行了详细分析,并获取到了黑客FTP服务器的帐号和密码,请大家提高安全意识,不要轻易打开未知的邮件附件及文档等。

详细分析

样本是一个RTF文档,里面嵌套了OLE对象,包含恶意宏代码,如下所示:

1576203322125961.png

恶意宏代码,会启动PowerShell进程,从远程服务器上下载恶意程序,然后执行,相关参数,如下:


1576227385(1).png


分析下载的恶意程序,使用NET语言进行开发,首先会获取远程服务器地址:hxxps://paste.ee/r/RrkBF,如下所示:


1576203382938331.png

读取远程服务器上的内容,如下所示:


1576203397409507.png

直接加载执行远程服务器上的脚本,如下所示:


1576203412668604.png

解密去混淆远程服务器上的脚本之后,同样是一个NET编写的程序,如下所示:


1576203429926984.png

该程序主要功能是键盘记录,盗取受害者浏览器网站上的帐号和密码,会结束受害者主机上的浏览器相关进程,如下所示:


1576203469356811.png

对抗杀软,结束相关安全软件进程,相关的安全软件进程有一百多个,如下所示:


1576203485968027.png

将记录的浏览器上网站,以及相关的帐号和密码,然后发送到黑客远程FTPd服务器,如下所示:


1576203505692857.png

该恶意程序还有截屏等操作,在分析该恶意程序的时候发现了黑客的FTP服务器地址,以及帐号和密码,登录进去,发现它已经盗取了部分受害者的主机信息,如下所示:

1576203526482403.png

病毒防御


1、及时给电脑打补丁,及时升级应用程序,修复漏洞。


2、不要点击来源不明的邮件附件,不从不明网站下载软件。




本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/120499.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:255 积分: 2030

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号