网络第5域

卡巴斯基发现有恶意软件针对钉钉和微信窃取信息 还被托管在米哈游服务器上

字号+作者: 来源:蓝点网 2024-08-31 23:28 评论(创建话题) 收藏成功收藏本文

网络安全公司卡巴斯基实验室日前发布博客介绍关于后门程序HZRat的调查报告,该后门程序主要针对阿里巴巴旗下的企业通讯平台钉钉和腾讯旗下的即时通讯软'...

网络安全公司卡巴斯基实验室日前发布博客介绍关于后门程序HZRat的调查报告,该后门程序主要针对阿里巴巴旗下的企业通讯平台钉钉和腾讯旗下的即时通讯软件微信(本文提到的均为PC版或Mac版,不含手机版)。2bG品论天涯网

HZRat后门最初仅针对Windows系统,此次卡巴斯基发现的新版本属于Windows版HZRat的移植版,专门针对macOS系统,主要目的也是收集机密信息。2bG品论天涯网

值得注意的是在病毒扫描平台VirusTotal上,HZRat样本没有被任何安全软件检测到问题(也包括卡巴斯基),样本主要是冒充知名的加密隧道软件OpenVPNConnect。2bG品论天涯网

下图也可以看到黑客使用的是中文:2bG品论天涯网

2bG品论天涯网

卡巴斯基经过调查后发现HZRat后门程序具有以下特点:2bG品论天涯网

  • 收集macOS系统完整性(SIP)保护状态2bG品论天涯网

  • 收集本地IP地址2bG品论天涯网

  • 收集有关蓝牙设备的信息2bG品论天涯网

  • 收集可用的WiFi网络以及网卡和已连接的WiFi信息2bG品论天涯网

  • 收集硬件规格2bG品论天涯网

  • 收集存储信息2bG品论天涯网

  • 申请清单2bG品论天涯网

  • 收集来自微信的用户信息2bG品论天涯网

  • 收集来自钉钉的用户和组织信息2bG品论天涯网

  • 收集谷歌密码管理器的用户名和网站(Chrome内置的密码管理器)2bG品论天涯网

  • 其中针对微信收集的信息包括微信用户ID、邮箱(如有)和电话号码,这些信息以纯文本形式存储在usderinfo.data文件中;分析发现该后门程序似乎对钉钉更感兴趣,收集的钉钉信息包括用户所在的企业/组织以及部门名称、用户名、公司邮箱地址、电话号码。2bG品论天涯网

    值得注意的是在卡巴斯基进行分析的这段时间,HZRat并未使用将文件写入到磁盘和将文件发送到服务器两个命令,这表明攻击者当前收集信息可能是在未来的攻击做准备,所以暂时还不清楚攻击者的具体意图。2bG品论天涯网

    最后比较有意思的是HZRat后门程序被存储在游戏开发商米哈游的服务器中:hxxp://vpn.mihoyo[.]com/uploads/OpenVPNConnect.zip2bG品论天涯网

    将文件放到知名公司的域名里通常可以获得用户信任或规避某些安全软件的拦截策略,但黑客如何将文件放到米哈游服务器就是个迷了,按理说米哈游这种规模的公司应该对服务器的管理非常严格才对。2bG品论天涯网

    本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]