银行和物流行业正遭受一种名为 “Chaes “恶意软件变种的攻击。
Morphisec 在与《黑客新闻》分享的一份新的详细技术报告中说:“Chaes”经历了重大的改版,从完全用 Python 重写,到整体重新设计和增强通信协议,导致传统防御系统的检测率降低。
据了解,Chaes 于 2020 年首次出现,主要针对拉丁美洲(尤其是巴西)的电子商务客户窃取敏感的财务信息。
Avast 在 2022 年初发现,自称为路西法的幕后威胁者已经入侵了 800 多个 WordPress 网站,向巴西银行、Loja Integrada、Mercado Bitcoin、Mercado Livre 和 Mercado Pago 的用户发送 Chaes。
2022 年 12 月,巴西网络安全公司 Tempest Security Intelligence 发现该恶意软件在其感染链中使用了 Windows Management Instrumentation(WMI),以方便收集系统元数据,如 BIOS、处理器、磁盘大小和内存信息。
该恶意软件的最新迭代版本被称为 Chae$ 4(参考源代码中的调试日志信息),其中包含了扩大针对凭证盗窃的服务目录以及剪切功能。
尽管恶意软件架构发生了变化,但在 2023 年 1 月发现的攻击中,总体传输机制保持不变。
潜在受害者登陆其中一个被入侵的网站后,会弹出一个消息,要求他们下载 Java Runtime 或防病毒解决方案的安装程序,从而触发恶意 MSI 文件的部署,该文件反过来又会启动一个名为 ChaesCore 的主协调器模块。
该组件负责建立与命令控制(C2) 服务器 的通信渠道,从中获取支持入侵后活动和数据盗窃的其他模块 。
主机上的持久性是通过计划任务完成的,而 C2 通信则需要使用 WebSockets,植入程序会无限循环运行,等待远程服务器的进一步指令。
通过巴西的 PIX 平台进行加密货币转账和即时支付是一个值得注意的新增目标,凸显了攻击者的攻击嗅觉。
Morphisec 进一步解释说:Chronod 模块引入了框架中使用的另一个组件,一个名为 “模块打包器 “的组件。这个组件为模块提供了自己的持久性和迁移机制,其工作原理与ChaesCore的机制非常相似。
这种方法包括更改与网页浏览器(如谷歌 Chrome、微软 Edge、Brave 和 Avast 安全浏览器)相关的所有快捷方式文件(LNK),以执行 Chronod 模块,而不是实际的浏览器。
该公司表示:恶意软件使用谷歌的 DevTools 协议连接到当前浏览器实例。该协议允许通过 WebSockets 与内部浏览器功能直接通信。
该协议暴露的广泛功能允许攻击者运行脚本、拦截网络请求、在加密前读取 POST 体等。
参考链接:
隐藏文件不能隐藏了
你可能中病毒了 你先试下列操作;
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉二、显示出被隐藏的系统文件运行——regeditHKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL,将CheckedValue键值修改为1这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。 (有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。 在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示三、删除病毒在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 和 两个文件,将其删除。 四、删除病毒的自动运行项打开注册表 运行——regeditHKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\ 的最后到 C:\WINDOWSsystem32 目录下删除 或 重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
机器狗病毒特性是什么??
病毒名称:“AV终结者”病毒与熊猫烧香过于“张扬”的特点不同,“AV终结者”的攻击手段更为隐蔽,用户如果感染了该病毒,所有杀毒软件将被禁用;想用搜索引擎去查找一些解决办法,输入“杀毒”字样,浏览器窗口遂被关掉;安全模式也会遭破坏,甚至格式化系统盘重装后很容易被再次感染;更为严重的是,该病毒可在用户电脑安全性丧失殆尽的情况下下载大量盗号木马、风险程序,给用户的网络资产带来严峻威胁。 附“AV终结者”病毒八大病毒特征:1. 生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。 2. 绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。 即使手动删除了病毒程序,下次启动这些软件时,还会报错。 3. 不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。 4. 禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。 为该病毒的下一步破坏打开方便之门。 5. 破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复6. 当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。 假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。 7. 在本地硬盘、U盘或移动硬盘生成和相应的病毒程序文件,通过自动播放功能进行传播。 这里要注意的是,很多用户格式化系统分区后重装,访问其它磁盘,立即再次中毒,用户会感觉这病毒格式化也不管用。 8. 病毒程序的最终目的是下载更多木马、后门程序。 用户最后受损失的情况取决于这些木马和后门程序。
用磁碟机专杀杀不了磁铁机怎么办
应该是磁碟机病毒,用金山毒霸磁碟机专杀工具清除电脑感染“磁碟机”变种病毒后,症状表现为运行任意程序时系统经常性死机或长时间卡住不动,病毒会以加密感染的方式感染除系统盘外的其它所有分区内的EXE文件、网页文件、RAR和ZIP压缩包中的文件等。 被感染的文件图标变为16位图标,图标变得模糊,类似马赛克状。 病毒一旦发现带有符合安全工具软件相关的窗口名存在,就会强行将其关闭(发送洪水似垃圾消息)。 在所有盘符下生成“”和病毒程序文件体,并且会实时检测保护这些文件。 病毒会下载20余种木马病毒,用以窃取中毒电脑中有价值的隐私信息。 病毒通过十余种方式实现自我保护和避免被杀毒软件查杀,其隐藏和自我保护技术超过以往任何同类病毒。 建议;在安全模式下杀毒,开机按F8
发表评论