IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

CoreBot恶意软件窃取凭证

发布时间:2015-09-01 13:24文章来源:网络整理文章作者: 学习网点击次数:
IBM今天发布了一份关于CoreBot的报告,它被设计成一种通用的信息窃取恶意软件,拥有足够的灵活性,可以做到实时数据更新。

http://p5.qhimg.com/t0148bd041f46247b95.jpg

新型恶意软件被用于窃取数据,比如用户凭证,这已成为潜在的问题。

IBM今天发布了一份关于CoreBot的报告,它被设计成一种通用的信息窃取恶意软件,拥有足够的灵活性,可以做到实时数据更新。

“CoreBot是高度模块化的,这意味着它的内部结构可以很容易的通过编程方式添加新的数据窃取和端点控制机制,”IBM的安全研究员Limor Kessem这样写道。

IBM表示,一些安全检测系统将CoreBot识别为Dynamer!ac 或者Eldorado。它主要从系统中偷取数据,电子邮件凭证,软件注册码之类的东西。所有被偷取的数据对于犯罪组织来说都是有价值的。

CoreBot中令人担忧的部分,是它的模块化。

“CoreBot最有趣的设计是它的插件系统,这使得它的盗窃功能模块化,可以轻松编写各种插件。”,Kessem说道,“CoreBot从其指挥控制(C&C)服务器上下载插件并且设置端点的持久性机制,然后使用插件的DLL中的plugininit导出函数加载插件。”

现在CoreBot中正使用的一个名为Stealer的插件,它可以窃取浏览器中保存的密码,并且可以扫描获取到所有主流浏览器中的凭证。它也可以从桌面应用程序中获取到诸如FTP客户端,邮件客户端,数字货币钱包,私人证明等数据。不过,IBM表示,CoreBot暂时还不能获取浏览器实时数据。

“通用恶意软件通常尽可能地收集密码之类的数据,最终影响广泛用户的个人账户,包括银行账户凭证,电子邮件和电子钱包。”Kessem说道,“当它们连接到计划端点时,收集到的电子邮件证书,软件密钥和其他有意思的设备都可以被攻击者保存在指定位置。更重要的是,它还可以下载并执行其他恶意软件”。

IBM还在该恶意软件中发现了激活域生成算法,该算法可以根据受害者所在地理位置构建域。

“这个恶意软件的设计相当有趣,虽然它只是一个通用的偷窃者。”Kessem说道,“他们使用的域名采用的是其他已知的恶意软件的运营商,这是为了防止安全研究人员或者其他罪犯对其进行攻击。”

目前CoreBot与两个域名进行信息交流,分别是domains—vincenzo-sorelli.com和arijoputane.com。域名注册信息为同一个人,注册地址位于俄罗斯。该恶意软件也使用Windows Power Shell 和微软的自动化技术以及配置管理工具从网上下载恶意软件,以及更新自身。

IBM警告说,一旦类似于CoreBot之类的信息窃取恶意软件感染企业端点,它可以偷取凭证以及至关重要的网络资料,也可以在外网使用该组织的工作凭证以及个人数据。

“重要的是要记住,木马的操作者通常会泄露出机密业务中的客户信息,预算计划甚至内部机密信息”,Kessem说道,“因此,一旦组织内部节点被感染,就会导致一些非常严重的数据安全问题”。


本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:https://threatpost.com/corebot-malware-steals-credentials-for-now/114475


CoreBot恶意软件窃取凭证
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/News/anquan/52429.html

标签分类:

软件 恶意 窃取 凭证 CoreBot
上一篇:上一篇:维基解密的数据文档中包含恶意软件
下一篇: 下一篇:iOS恶意软件KeyRaider可以盗取超过22.5万的Apple账号
无觅关联推荐,快速提升流量