2024-8-27 17:01| 发布者: 西瓜太郎| 查看: 128| 评论: 0
 网络安全研究人员发现了一个利用“Cheana Stealer”恶意软件的复杂网络钓鱼活动,该恶意软件已通过VPN网络钓鱼网站传播。这种攻击以针对各种操作系统(包括Windows、Linux和macOS)的用户而闻名。 Cheana Stealer活动是通过一个旨在冒充合法VPN提供商的钓鱼网站实施的。该网站模仿了WarpVPN服务的外观,专门设计用于吸引个人下载适用于不同操作系统的VPN应用程序。 攻击者为每个目标操作系统制作了Cheana Stealer的不同二进制文件,展示了他们最大限度地扩大攻击范围的努力。  Windows安装说明 Cheana偷窃者运动概述 根据Cyble Research and Intelligence Lab(CRIL)的数据,Cheana Stealer恶意软件通过不同的方法针对多个操作系统的用户。对于Windows,恶意软件是通过PowerShell脚本传递的,该脚本执行名为install.bat的批处理文件。  Linux安装说明 此脚本首先检查受害者系统上的Python,如果找不到,则安装Python以及pip和virtualenv等工具。 然后,它安装了一个名为hclockify-win的恶意Python包,旨在窃取敏感信息。该软件包针对加密货币浏览器扩展和独立钱包,将被盗数据压缩成ZIP文件,发送给攻击者的命令和控制(C&C)服务器。此外,它还从基于Chromium的浏览器和Firefox中提取存储的浏览器密码。 在Linux系统上,Cheana Stealer是通过一个curl命令分发的,该命令下载了一个名为install-Linux.sh的脚本。  MacOS安装说明 该脚本通过虚假提示欺骗用户输入凭据,然后收集浏览器登录数据、macOS密码和钥匙串信息。这些详细信息随后被发送到C&C服务器。 在所有平台上,Cheana Stealer通过利用系统漏洞和用户信任来窃取敏感信息,从而强调了采取更好安全措施的必要性。 电报频道的作用及技术分析  与Cheana Stealer活动相关的钓鱼网站链接到一个拥有54000多名订阅者的Telegram频道。该频道至少自2018年以来一直活跃,运营商发生了几次变化,钓鱼网站于2021年被添加到其简介中。在转向Cheana Stealer的分销之前,该渠道在传播恶意内容和获得用户信任方面发挥了重要作用。 Telegram频道最初提供看似免费的VPN服务,利用这种伪装来建立信誉。一旦建立了用户群,该渠道就会转而推广钓鱼网站,利用获得的信任分发恶意软件。 Cheana Stealer战役采用了精心设计的技术策略。这个假冒WarpVPN的钓鱼网站为各种操作系统提供了详细但具有欺骗性的安装说明。  2021年Warpvpn网站 这些说明引导用户安装伪装成合法应用程序的恶意软件。 该恶意软件针对Windows、Linux和macOS进行了定制,每个版本都旨在提取特定的敏感数据。它顺利地整合到受害者的系统中,确保有效的数据收集。 一旦被收集,被盗数据将被存档并通过HTTPS发送到攻击者的服务器,在传输过程中对其进行保护,使检测变得更加困难。这种复杂的方法强调了用户需要保持警惕并采取强有力的安全措施。 缓解策略 为了防止像Cheana Stealer活动那样的网络钓鱼攻击,用户应该遵循几个重要建议。 首先,始终从信誉良好的来源下载VPN应用程序和其他软件,以避免恶意版本。宣传活动可以帮助用户识别网络钓鱼企图,并验证VPN服务的合法性。 此外,部署高级端点保护解决方案可以帮助检测和阻止恶意脚本。定期更新这些工具对于保持其有效性至关重要。使用安全工具监控网络流量可以防止与已知的指挥和控制服务器通信,从而增加另一层防御。启用多因素身份验证(MFA)提供了一个额外的安全层,即使凭据受到损害,也能降低未经授权访问的风险。 另外,制定一个完善的事件响应计划至关重要。该计划应定期更新,以迅速应对和管理恶意软件感染。Cheana Stealer活动展示了一种复杂的网络钓鱼攻击,通过伪装成合法的VPN服务来利用用户信任。 针对不同操作系统使用定制的恶意软件以及战略性地使用Telegram频道突显了该活动的复杂性。 |
