详细内容或原文请订阅后点击阅览
坐着,取,偷东西-Chihuahua窃取者:一种新的InfoStealer
无
来源:G DATA _恶意软件Lovely Antonio 和 Chloe de Leon 的分析
Chihuahua Stealer 是一种新发现的基于 .NET 的信息窃取程序,它将常见的恶意软件技术与异常先进的功能相结合。它首先引起我们的注意是在 4 月 9 日发布的 Reddit 帖子中,其中一名用户分享了一个混淆的 PowerShell 脚本,他们被诱骗通过 Google Drive 文档执行。如果这听起来有点耳熟:你没有错——我们在虚假的招聘活动中看到过类似的事情,我们也写过相关内容。该脚本使用多阶段有效负载,通过计划任务实现持久性并导致主要窃取者有效负载的执行。 这篇博客文章详细分析了攻击链的每个阶段,从最初的交付方法开始,到加密数据泄露结束。
4 月 9 日发布的 Reddit 帖子 虚假招聘活动- 感染始于通过恶意 Google Drive 文档共享的模糊 PowerShell 脚本,启动多阶段有效负载链。 持久性是通过计划作业来实现的,该作业检查自定义标记文件并从多个后备域动态获取额外的有效负载。 主要有效负载以 .NET 编写,目标是浏览器数据和加密钱包扩展。 被盗数据被压缩到文件扩展名为“.chihuahua”的存档中,并通过 Windows CNG API 使用 AES-GCM 进行加密。 加密的存档通过 HTTPS 泄露,所有本地痕迹都被擦除,展示了其隐秘技术。