攻击者利用已有6年历史的Office 漏洞传播间谍软件;为窃取Android手机PIN码,这个恶意软件路子有多野?
2023-12-24 08:47:22 Author: 黑白之道(查看原文) 阅读量:16 收藏

为窃取Android手机PIN码,这个恶意软件路子有多野?

变色龙安卓银行木马最近发布了最新的版本并重出江湖,它采用了一种非常“野”的方式来接管设备——禁用指纹和面部解锁功能,以窃取设备的PIN码。但不得不说,确实可以实现窃取Android手机PIN码。

它通过使用HTML页面的技巧来获取访问辅助服务的权限,以及一种干扰生物识别操作的方法,来窃取PIN码并随意解锁设备。

今年四月份发现的变色龙早期版本冒充澳大利亚政府机构、银行以及CoinSpot加密货币交易所,对被感染的设备进行键盘记录、覆盖注入、窃取Cookie和短信。

ThreatFabric的研究人员一直在跟踪这款恶意软件,他们报告称,目前该恶意软件通过伪装成Google Chrome的Zombinder服务进行分发。

Zombinder将恶意软件“粘贴”到合法的安卓应用程序上,这样受害者就可以享受他们原本意图安装的应用程序的全部功能,从而降低了他们怀疑后台运行危险代码的可能性。

该平台声称其恶意软件捆绑包在运行时无法被检测到,可以绕过Google Protect的警报,并规避在被感染设备上运行的任何杀毒产品。

伪装成Google Chrome的携带变色龙恶意软件的APK文件(ThreatFabric)

新版变色龙特性

最新变色龙变体的首个新特性是能够在运行Android 13及更高版本的设备上显示HTML页面,提示受害者授予应用程序使用辅助服务的权限。

Android 13及更高版本受到一项名为“受限设置”的安全特性的保护,该特性可以阻止危险权限的批准,如辅助功能权限,恶意软件可以利用该权限窃取屏幕内容、授予自身额外权限和执行导航手势。

当变色龙检测到设备运行的是Android 13或14时,它会加载一个HTML页面,指导用户手动过程以启用应用的辅助功能,从而绕过系统的保护。

变色龙的HTML页面提示(ThreatFabric)

第二个值得注意的新特性是能够通过使用辅助服务强制设备回退到PIN码或密码认证,从而中断设备上的生物识别操作,如指纹解锁和面部解锁。

该恶意软件会捕获受害者输入的任何PIN码和密码以解锁他们的设备,并且稍后可以随意使用这些凭据来解锁设备,以便在不被发现的情况下执行恶意活动。

Java代码片段干扰Android上的生物识别服务(ThreatFabric)

ThreatFabric报告称,变色龙通过AlarmManager API增加了任务调度功能,以管理活动周期并定义活动类型。根据辅助功能是否启用,恶意软件会适应性地发起覆盖攻击或执行应用使用数据收集,以决定注入的最佳时机。

ThreatFabric警告说:“这些增强功能提升了新变色龙变种的复杂性和适应性,使其成为不断变化的移动银行木马威胁环境中更为强大的威胁。”

为了防范变色龙威胁,避免从非官方渠道下载APK(Android安装包),因为这是Zombinder服务的主要分发方式。此外,确保Play Protect始终处于启用状态,并定期运行扫描,以确保您的设备没有恶意软件和广告软件。

攻击者利用已有6年历史的Office 漏洞传播间谍软件;

根据Dark Reading网站的报道,黑客正在利用一个已存在6年的微软Office远程代码执行(RCE)漏洞,通过在电子邮件中附带恶意Excel文件的方式传播间谍软件。

尽管这个漏洞早在2017年被披露,但最早的恶意利用可追溯到2014年,攻击者的最终目标是通过加载Agent Tesla这一远程访问木马(RAT)和高级键盘记录器,在电子邮件中携带Agent Tesla,将窃取的数据发送到由攻击者控制的Telegram机器人。尽管已经存在了10年之久,但Agent Tesla仍然是攻击者常用的工具,可用于执行剪贴板记录、键盘记录、屏幕捕获以及提取各种Web浏览器存储的密码等功能。

攻击工程

这种感染活动的始作俑者利用了社会工程学,通过电子邮件传播带有恶意Excel附件的恶意代码。邮件的主题通常包含"订单"、"发票"等字眼,并强调紧急性,要求接收方立即回复。一旦用户受到诱导并打开了恶意Excel附件,攻击就会以不寻常的方式展开。它使用易受攻击版本的电子表格应用程序打开附件,然后与恶意目标进行通信。恶意目标会传送附加文件,其中包括一个高度混淆的VBS文件,使用长达100个字符的变量名称,以增加分析和解混淆的难度。
在进一步的攻击中,这个混淆的VBS文件会逐步下载恶意的JPG文件。接着,VBS文件执行一个PowerShell可执行文件,该文件从图片文件中提取Base64编码的DLL,并加载解码后的DLL中的恶意程序。这一系列步骤旨在增加攻击的复杂性和混淆性,以躲避检测和分析。

恶意通信和附加文件下载

PowerShell 加载后,还有另一种新颖的策略——执行 RegAsm.exe 文件,该文件的主要功能通常与注册表读写操作相关,目的是在真实操作的幌子下进行恶意活动。在此,DLL 获取 Agent Tesla 负载并将线程注入 RegAsm 进程。

一旦部署成功,间谍软件就会从大量浏览器、邮件客户端和 FTP 应用程序中窃取数据,并还尝试部署键盘和剪贴板挂钩来监视所有击键并捕获用户复制的数据。

目前这种攻击方式的独特之处在于,它将长期存在的漏洞与新的复杂规避策略结合在一起,展示了攻击者在感染方法方面较强的适应性。为此,Zscaler 高级工程师安全研究员 Kaivalya Khursale 指出:“组织必须及时了解不断变化的网络威胁,以保护其数字环境。”

文章来源 :freebuf

精彩推荐



文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650584539&idx=1&sn=297df7019e3fe07506afcf9538aa39ea&chksm=828c37df9a6477f5e07f42c098ccfd7d43290ee1a1c0220f38befed98db2a45e8d6ec83cfa84&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh