安全公司 Trellix 发现了 一种新型、复杂的基于 Java 的信息盗窃工具,该工具使用 Discord 机器人从受感染的主机窃取敏感数据。
该恶意软件名为 NS-STEALER,通过 ZIP 存档分发,伪装成破解软件。ZIP 文件包含一个恶意 Windows 快捷方式文件(“Loader GAYve”),充当部署恶意 JAR 文件的管道。该文件首先创建一个名为“NS-<11-digit_random_number>”的文件夹来存储收集的数据。
存档内容
在创建的文件夹中,恶意软件随后存储从 20 多个网络浏览器中窃取的屏幕截图、cookie、凭据和自动填充数据、系统信息、已安装程序列表、Discord 令牌、Steam 和 Telegram 会话数据。然后,收集到的信息会传输到机器人的 Discord 频道。
感染链
研究人员指出,恶意软件利用复杂的功能来收集敏感信息,并且通过使用支持身份验证的 X509Certificate 功能,在J ava 运行时快速从受害者系统中窃取信息。使用 Discord 机器人通道作为事件监听器来接收过滤后的数据在活动中也很有效。
转自安全客,原文链接:https://www.anquanke.com/post/id/292819
© 版权声明
文章版权归原作者所有,转摘请注明出处。文章内容仅代表作者独立观点,不代表安全壹壹肆&安全114的立场,转载目的在于传递网络空间安全讯息。部分素材来源于网络,如有侵权请联系首页管理员删除。
THE END
暂无评论内容