伪装成杀毒软件的键盘记录器Fauxpersky正通过USB驱动器传播
网络安全公司Cybereason在本周三发文称,他们已经发现了一种新型的键盘记录恶意软件。尽管从技术层面来讲,该恶意软件还远远谈不上“先进”,但它在窃取密码方面表现出了很高的效率。
Cybereason将这个恶意软件命名为“Fauxpersky”,因为它在传播过程中伪装成了世界知名的俄罗斯杀毒软件——卡巴斯基(Kaspersky)。
根据Cybereason研究人员的说法,Fauxpersky建立在受欢迎的应用程序AutoHotKey(AHK)之上。该应用程序允许用户在Windows上编写各种图形用户界面(GUI)和键盘自动执行任务的小脚本,并能够将这些脚本编译为可执行文件。
对于Fauxpersky的开发者来说,该应用程序则被用来了构建键盘记录器。该键盘记录器通过USB驱动器传播以感染Windows计算机,并能够在任何可移动驱动器(如U盘)连接到受感染计算机时完成自我复制。
具体来讲,在Fauxpersky初次执行后,它会扫描所有连接到该计算机上的可移动驱动器,并对这些驱动器进行重命名,然后将自身文件全部复制过去。
例如,当一个名为“Pendrive”的8GB USB驱动器连接到受感染计算机时,Fauxpersky会将其重命名“Pendrive 8GB(Secured by Kaspersky Internet Security 2017))”,译作“Pendrive 8GB(由卡巴斯基互联网安全公司2017保护)”。
研究人员表示,他们在一个名为“Kaspersky Internet Security 2017”的目录下共发现了6个文件,其中包括了四个可执行文件,而每个可执行文件都有一个类似于Windows系统文件的名称:Explorers.exe、Spoolsvc.exe、Svhost.exe和Taskhosts.exe。
另外两个文件,一个是被命名为“Logo.png”的图片文件(用于伪造卡巴斯基杀毒软件启动画面),另一个是被命名为“Readme.txt”的文本文件。四个可执行文件则是Fauxpersky的核心组件,它们分别承载了不同的功能:Explorers.exe用于完成USB驱动器传播;Svhost.exe用于完成键盘记录,将键盘记录的数据写入文件(Log.txt);Taskhosts.exe用于建立持久性机制;Spoolsvc.exe则被用于最终的数据上传。
Log.txt 文件记录的所有数据最终会通过Google表单提交到攻击者的收件箱。这是一种简单但却有效的方法,这意味着攻击者并不需要部署任何命令和控制(C&C)服务器。另外,通过Google表单传输的数据原本上就已经被进行了加密处理,这使得Fauxpersky的数据上传在各种流量监控解决方案中看起来并不会可疑。
Cybereason在文章中并没有指出具体有多少台计算机已经遭到了感染,但鉴于Fauxpersky智能通过共享USB驱动器的过时方法传播,因此它可能并不会广泛传播。
来源:黑客视界
