一、基本内容
近期,Fortinet FortiGuard Labs发现了一款名为ThirdEye的先前未记录的基于Windows的信息窃取程序。该恶意软件伪装成PDF文件,其俄语名称为“CMK Правила оформления больничных листов.pdf.exe”,翻译过来就是“发放病假的 CMK 规则.pdf.exe”。该实验室表示,尽管诱饵的性质表明它被用于网络钓鱼活动,但该恶意软件的到达量目前尚不清楚。第一个ThirdEye样本于2023年4月4日上传到Virus Total,功能相对较少。
二、相关发声情况情况
ThirdEye能够收集系统元数据,包括BIOS发布日期和供应商、C驱动器上的总/可用磁盘空间、当前正在运行的进程、注册用户名和卷信息。然后,收集到的详细信息会传输到命令与控制(C2)服务器。该恶意软件的一个显着特征是它使用字符串“3rd_eye”向C2服务器表明其存在。目前尚未发现ThirdEye已在使用,但考虑到大多数窃取程序都是从俄罗斯上传到VirusTotal,因此恶意活动很可能针对的是俄语组织。Fortinet研究人员表示,尽管这种恶意软件并不复杂,但它的目的是从受感染的机器中窃取各种信息,这些信息可用作未来攻击的垫脚石,收集到的数据对于理解和缩小潜在目标的范围非常有价值。
与此同时,一些木马安装程序被用来传播加密货币矿工和一个名为Umbral的开源窃取程序。这些木马安装程序通常伪装成流行的《超级马里奥兄弟》视频游戏系列。Cyble表示,挖矿和盗窃活动的结合会导致经济损失、受害者系统性能大幅下降以及宝贵系统资源的耗尽。此外,视频游戏用户还成为基于Python的勒索软件和名为SeroXen的远程访问木马的目标。SeroXen利用名为ScrubCrypt(又名BatCloak)的商业批处理文件混淆引擎来逃避检测。有证据表明,与SeroXen开发相关的参与者也为ScrubCrypt的创建做出了贡献。SeroXen在2023年3月27日注册的Clearnet网站上进行了销售广告,随后于5月底关闭,并在社交媒体上进一步推广。Trend Micro建议个人在遇到与“作弊”、“黑客”、“破解”等术语相关的链接和软件包时保持怀疑态度。这些恶意软件的发现突显了FUD混淆器的发展,其进入门槛较低。这些近乎业余的方法使用社交媒体进行积极推广,考虑到如何轻松追踪,使得这些开发人员看起来就像新手。
三、分析研判
在当前案例中出现的网络攻击为恶意软件,可能会造成以下危害:
1. 隐私泄露:恶意软件可以获取用户的个人信息、账号密码、浏览历史等敏感数据,进而泄露用户的隐私。
2. 身份盗窃:通过窃取系统元数据,恶意软件可以获取用户的身份信息,包括姓名、身份证号码、银行账号等,从而进行身份盗窃和金融欺诈活动。
3. 金融损失:恶意软件可以窃取用户的银行账号和支付密码,从而进行非法转账、盗取财产等操作,导致用户遭受经济损失。
4. 恶意操控:恶意软件可以窃取系统元数据,获取用户的设备信息和操作习惯,进而操控用户的设备,例如远程控制摄像头、窃听麦克风等,对用户进行监视和操纵。
5. 网络攻击:恶意软件可以利用窃取的系统元数据,进行网络攻击,例如发起DDoS攻击、传播病毒、入侵其他系统等,给网络安全带来威胁。
四、应对策略
在日常网络安全防护中,我们可以采用以下方法来预防和及时发现恶意软件:
1. 安装可信的安全软件:选择一个可信的安全软件,并定期更新其病毒库和软件版本,以确保能够及时发现和阻止恶意软件的入侵。
2. 注意下载来源:避免从不可信的网站或第三方应用商店下载软件,尽量选择官方渠道或可信的下载源。
3. 谨慎点击链接和附件:不要随意点击来自陌生人或不可信来源的链接,尤其是在电子邮件、社交媒体或即时通讯应用中。同时,不要打开来自不可信来源的附件。
4. 更新操作系统和应用程序:及时更新操作系统和应用程序的补丁和安全更新,以修复已知的漏洞和弱点,减少被恶意软件利用的风险。
5. 设置强密码:使用强密码来保护你的设备和在线账户,避免使用简单的密码或者重复使用相同的密码。
6. 谨慎使用公共Wi-Fi:在使用公共Wi-Fi时,尽量避免访问敏感信息和进行重要的在线交易,以防止恶意软件通过网络攻击入侵你的设备。
7. 定期备份数据:定期备份重要的数据和文件,以防止数据丢失或被恶意软件加密勒索。
8. 教育自己和他人:了解常见的恶意软件类型和攻击手段,提高自己的安全意识,并与他人分享相关的安全知识