一种名为“CMoon”的新型自我传播蠕虫自2024年7月初以来,由于一家天然气供应公司网站在俄罗斯传播,该蠕虫能够窃取账户资金和其他数据。
据发现该活动的卡巴斯基研究人员称,CMoon可以执行多种功能,包括加载额外的有效负载、截取屏幕截图以及发起拒绝服务(DDoS)攻击。
从攻击者使用的分发渠道来看,他们的目标范围集中在高价值目标而不是随机的互联网用户,这表明他们的行动非常复杂。
感染链始于用户点击一家为俄罗斯城市提供天然气供应的公司网站上的监管文件(docx、.xlsx、.rtf 和 .pdf)链接时。
攻击者将文档链接替换为恶意执行文件的链接,这些恶意执行文件也托管在网站上,并作为自解压文件提供给受害者,其中包含原始文档和CMoon负载(以原始链接命名)。
卡巴斯基报告称:“尚未发现此类恶意软件的其他传播意图,因此我们认为攻击仅针对特定网站的访问者。”
在该天然气公司收到此入侵通知后,恶意文件和链接于2024年7月25日从其网站上删除。
由于CMoon的自我传播,感染机制继续自主进行。
CMoon 是一种 .NET 蠕虫,它会自行复制到一个新创建的文件夹中,该文件夹会在受感染设备上检测到的防病毒软件命名;如果未检测到 AV,则复制到一个这就是系统文件夹的文件夹中。
该蠕虫在Windows启动目录上创建快捷方式,以确保它在系统启动时运行,从而保证重新启动之间的持久性。
为了避免在手动用户检查时引起怀疑,请将文件的创建和修改日期更改为 2013 年 5 月 22 日。
该蠕虫会监视新连接的USB驱动器,当任何USB驱动器连接到受感染的机器时,它会用其默认文件的方式快捷替换“LNK”和“EXE”之外的所有文件。
CMoon 还会找到 USB 驱动器上存储的有趣文件,将它们临时隐藏存储在目录(“.intelligence”和“.usb”)中,然后将它们泄露到攻击者的服务器中。
CMoon 具有标准的信息窃取功能,目标是加密货币钱包、存储在网络浏览器、通讯应用程序、FTP 和 SSH 客户端中的数据以及 USB 或用户文件夹中包含文本字符串“秘密”、“服务”或“密码”的文档文件。
一个有趣且有些不相似的功能是针对可能包含账户帐户的文件,例如.pfx、.p12、.kdb、.kdbx、.lastpass、.psafe3、.pem、.key、.private、.asc、.gpg 、.ovpn 和 .log 文件。
该恶意软件还可以下载并执行其他有效负载、捕获受感染设备的屏幕截图,指定目标发起DDoS攻击。
被盗文件和系统信息被备份并发送到外部服务器,其中进行解密(RC4)并使用MD5哈希验证其完整性。
巴斯基表示,在其当前可见范围内还有更多网站分发卡CMoon,蠕虫病毒能够自主传播意味着它可能会进入非预期系统并为机会性创造攻击。
转载此文是出于传递更多信息目的。若来源标注错误或侵犯了您的合法权益,请与本站联系,我们将及时更正、删除、谢谢。
https://www.414w.com/read/1040862.html
