Hackernews 编译,转载请注明出处:
一种名为Aurora Stealer的基于Go的新兴恶意软件正被越来越多地部署,用于从受攻击主机上窃取敏感信息。
网络安全公司SEKOIA表示:“这些感染链冒充合法软件的下载页面,包括加密货币钱包或远程访问工具,以及911方法,利用YouTube视频和搜索引擎优化(SEO)的假冒破解软件下载网站。”
Aurora于2022年4月首次在俄罗斯网络犯罪论坛上发布广告,作为商品恶意软件提供给其他黑客,被称为“具有窃取、下载和远程访问功能的多用途僵尸网络”。
在过去的几个月里,该恶意软件的规模已经缩小到一个窃取者,可以从40个加密货币钱包和Telegram等应用程序中获取感兴趣的文件、数据。
Aurora还附带了一个加载器,可以使用PowerShell命令部署下一阶段的负载。
这家网络安全公司表示,至少有不同的网络犯罪组织,称为traffers,负责将用户的流量重定向到由其他参与者操作的恶意内容,已经将Aurora添加到了他们的工具集中,无论是单独添加还是与RedLine和Raccoon一起添加。
SEKOIA表示:“Aurora是另一个以浏览器、加密货币钱包、本地系统的数据为目标的信息窃取者,并充当加载器。收集到的数据在市场上以高价出售,网络犯罪分子对这些数据特别感兴趣,这让他们能够开展后续有利可图的活动,包括大型狩猎活动。”
帕洛阿尔托网络Unit 42的研究人员详细介绍了另一款名为Typhon stealer的增强版本。
这种新变体被称为Typhon Reborn,旨在从加密货币钱包、网页浏览器和其他系统数据中窃取数据,同时删除先前存在的功能,如密钥记录和加密货币挖掘,以尽量减少检测。
Unit 42的研究人员Riley Porter和Udai Pratap Singh表示:“Typhon Stealer为黑客提供了一个易于使用、可配置的构建器。”
Typhon Reborn的新反分析技术正在沿着行业路线发展,在规避策略方面变得更加有效,同时拓宽了他们窃取受害者数据的工具集。
消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文