详细内容或原文请订阅后点击阅览
Coyote Banking Trojan 针对巴西用户,窃取 70 多个金融应用程序和网站的数据
Coyote Banking Trojan 以巴西用户为目标,窃取了 70 多个金融应用程序和网站的数据。 FortiGuard Labs 的研究人员检测到了一项活动,该活动使用 LNK 文件执行 PowerShell 命令来部署 Coyote Banking Trojan。威胁行为者通过窃取财务数据来瞄准巴西用户,该恶意软件可以从 70 多个金融应用程序和众多 […] 中收集敏感信息
来源:Security Affairs _恶意软件土狼银行特洛伊木马针对巴西用户,从70多个财务应用程序和网站窃取数据
土狼银行特洛伊木马针对巴西用户,从70多个财务应用程序和网站窃取数据
Pierluigi Paganini Pierluigi Paganini 2025年2月4日土狼银行特洛伊木马针对巴西用户,从70多个财务应用程序和网站中窃取数据。
Fortiguard Labs的研究人员使用执行PowerShell命令部署土狼银行Trojan的LNK文件检测到了一项活动。威胁参与者通过窃取财务数据来针对巴西用户,恶意软件可以从70多个财务应用程序和许多网站中收集敏感信息。
土狼银行特洛伊木马支持多种恶意功能,包括钥匙扣,捕获屏幕截图以及显示网络钓鱼覆盖物以窃取敏感的凭证。
LNK文件运行一个连接到远程服务器的PowerShell命令,从而触发了土狼银行Trojan攻击的下一个阶段。研究人员分析了LNK文件的元数据,包括机器ID和MAC地址,以追踪与同一威胁参与者相关的感染。从远程服务器检索的脚本包含编码的数据段,该片段被解码和执行以推动恶意软件的操作。
““ bmwimcdec” dll文件作为加载程序函数,利用virtualallocex和writeProcessMemory注入“ npugdec”有效载荷。然后,它使用CreateMoteThread执行注射的恶意代码,从而促进了袭击的继续。”指出了Fortinet发表的报告。 “注入的代码利用甜甜圈,该工具旨在解密和执行最终的MSIL(Microsoft中级语言)有效载荷。这样可以确保攻击下一阶段的无缝交付和执行。”
报告 报告在Twitter上关注我:@securityaffairs和Facebook和Mastodon
@securityaffairs @securityaffairs Facebook Facebook mastodonPierluigi Paganini
Pierluigi Paganini Pierluigi Paganini(SecurityFaffairs - 黑客攻击,恶意软件)
( SecurityFaffairs -