新恶意软件活动利用破解软件传播 Lumma 和 ACR Stealer

网络安全研究人员警告称，一种新的恶意软件活动利用破解软件作为诱饵，传播信息窃取器，如 Lumma 和 ACR Stealer。

AhnLab 安全情报中心（ASEC）表示，自 2025 年 1 月以来，ACR Stealer 的分发量显著增加。

这种信息窃取恶意软件的一个显著特点是使用了一种称为 dead drop resolver 的技术来提取实际的命令与控制（C2）服务器。这包括依赖于合法服务，如 Steam、Telegram 的 Telegraph、Google Forms 和 Google Slides。

“威胁行为者将实际的 C2 域名以 Base64 编码的形式输入到特定页面，”ASEC 表示。“恶意软件访问该页面，解析字符串，并获取实际的 C2 域名地址以执行恶意行为。”

ACR Stealer 之前通过 Hijack Loader 恶意软件分发，能够从受攻陷的系统中窃取广泛的信息，包括文件、网络浏览器数据和加密货币钱包扩展。

与此同时，ASEC 还披露了另一项活动，该活动利用扩展名为 “MSC” 的文件，这些文件可以通过 Microsoft Management Console（MMC）执行，来传递 Rhadamanthys 信息窃取器。

“有两种类型的 MSC 恶意软件：一种利用 apds.dll 的漏洞（CVE-2024-43572），另一种使用控制台任务面板执行‘命令’，”这家韩国公司表示。

“MSC 文件伪装成 MS Word 文档。当点击‘打开’按钮时，它会从外部来源下载并执行一个 PowerShell 脚本。下载的 PowerShell 脚本包含一个 EXE 文件（Rhadamanthys）。”

CVE-2024-43572，也称为 GrimResource，于 2024 年 6 月首次被 Elastic 安全实验室记录为被恶意行为者利用的零日漏洞。微软在 2024 年 10 月修复了该漏洞。

此外，还观察到恶意软件活动利用聊天支持平台，如 Zendesk，伪装成客户，诱骗不知情的支持代理下载一种名为 Zhong Stealer 的信息窃取器。

根据 Hudson Rock 最近发布的一份报告，在过去的几年中，超过 3000 万台计算机被信息窃取器感染，导致企业凭据和会话 cookie 被窃取，这些凭据和会话 cookie 随后被网络犯罪分子在地下论坛上出售给其他行为者以牟利。

买家可以利用这些凭据获得的访问权限，进行自己的后续攻击行动，导致严重风险。这些发展突显了信息窃取器作为初始访问向量的作用，为敏感企业环境提供了立足点。

“网络犯罪分子可以以每台计算机（日志）10 美元的价格，从从事机密国防和军事部门工作的员工那里购买被盗数据，”Hudson Rock 表示。“信息窃取器情报不仅仅是检测谁被感染——更重要的是理解被攻陷凭据和第三方风险的整个网络。”

在过去一年中，威胁行为者还加大了通过一种称为 ClickFix 的技术传播各种恶意软件家族的努力，这通常涉及将用户重定向到假的 CAPTCHA 验证页面，指示他们复制并执行恶意的 PowerShell 命令。其中一种被投放的有效载荷是 I2PRAT，它利用 I2P 匿名网络来隐藏其最终的 C2 服务器。

消息来源：The Hacker News； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；