研究人員發(fā)現(xiàn)了一個(gè)1.2TB的被盜數(shù)據(jù)數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)是由一個(gè)未知的自定義惡意軟件在兩年內(nèi)從320萬(wàn)臺(tái)基于Windows的計(jì)算機(jī)上盜取的。被盜信息包括660萬(wàn)個(gè)文件和2600萬(wàn)個(gè)憑據(jù)，以及20億個(gè)網(wǎng)絡(luò)登錄cookie——其中4億個(gè)cookie在數(shù)據(jù)庫(kù)被發(fā)現(xiàn)時(shí)仍然有效。

據(jù)NordLocker的研究人員稱，此事件的罪魁禍?zhǔn)资且环N隱蔽的、不為人知的惡意軟件，它在2018年至2020年間通過(guò)木馬化的Adobe Photoshop、盜版游戲和Windows破解工具進(jìn)行傳播。他們補(bǔ)充說(shuō)，運(yùn)營(yíng)商不太可能有任何深度的技能來(lái)完成他們的數(shù)據(jù)收集活動(dòng)。

“事實(shí)是，任何人都可以接觸到自定義惡意軟件,它便宜、可定制，并且可以在整個(gè)網(wǎng)絡(luò)上找到，”該公司在周三的帖子中說(shuō)。“這些病毒的暗網(wǎng)廣告揭示了這個(gè)市場(chǎng)的更多真相。例如，任何人都可以以低至100美元的價(jià)格獲得自己的定制惡意軟件，甚至可以獲得如何使用被盜數(shù)據(jù)的課程。而且事實(shí)上這些惡意軟件的確是定制的——廣告商承諾他們可以構(gòu)建一種病毒來(lái)攻擊買家需要的幾乎任何應(yīng)用程序。”

NordLocker發(fā)現(xiàn)，這2600萬(wàn)個(gè)登錄憑據(jù)包含110萬(wàn)個(gè)唯一電子郵件地址，用于一系列不同的應(yīng)用程序和服務(wù)。其中包括社交媒體、在線市場(chǎng)、求職網(wǎng)站、游戲網(wǎng)站、金融服務(wù)、電子郵件等的登錄。

據(jù)NordLocker稱，一個(gè)黑客組織意外泄露了數(shù)據(jù)庫(kù)位置。托管數(shù)據(jù)的云提供商收到通知，這樣數(shù)據(jù)庫(kù)就會(huì)關(guān)閉，并且Troy Hunt已將受感染的電子郵件地址添加到他的HaveIBeenPwned存儲(chǔ)庫(kù)中，以便人們可以檢查他們是否受到惡意軟件的影響。

“此事件已被標(biāo)記為‘敏感’，因此無(wú)法公開(kāi)搜索，”亨特解釋說(shuō)。“對(duì)于個(gè)人而言，通過(guò)通知服務(wù)驗(yàn)證您的電子郵件地址將顯示它是否在此數(shù)據(jù)集中。對(duì)于組織而言，域搜索功能將使得組織在所有可以驗(yàn)證控制權(quán)的域的范圍內(nèi)進(jìn)行搜索。”

數(shù)以百萬(wàn)計(jì)的被盜文件

在文件方面，NordLocker發(fā)現(xiàn)惡意軟件從桌面和下載文件夾中提取了600萬(wàn)個(gè)文件。戰(zhàn)利品包括300萬(wàn)個(gè)文本文件、100多萬(wàn)個(gè)圖像文件和60多萬(wàn)個(gè)Word和.PDF文件，以及隨機(jī)的其他文件類型。

根據(jù)分析，“超過(guò)50%的被盜文件是文本文件”。“這個(gè)集合中的很多內(nèi)容很可能包含軟件日志。同樣令人擔(dān)憂的是，有些人甚至使用記事本來(lái)保存他們的密碼、個(gè)人筆記和其他敏感信息。”

該惡意軟件還竊取了696,000個(gè).PNG和224,000個(gè).JPG圖像文件;并且，它在感染計(jì)算機(jī)后制作了屏幕截圖，并使用設(shè)備的網(wǎng)絡(luò)攝像頭拍攝了一張照片。

竊取Cookie

被盜的cookie中大約有22%在被發(fā)現(xiàn)的當(dāng)天仍然有效，這可能使騙子能夠進(jìn)行一系列邪惡活動(dòng)。

NordLocker表示：“Cookie可幫助黑客準(zhǔn)確了解目標(biāo)的習(xí)慣和興趣。”“在某些情況下，cookies甚至可以訪問(wèn)個(gè)人的在線帳戶......[例如]，在線購(gòu)物cookie用于在用戶瀏覽商店時(shí)存儲(chǔ)購(gòu)物車數(shù)據(jù)。但是，它們可用于劫持購(gòu)物者的會(huì)話，闖入可能存儲(chǔ)其家庭住址和信用卡詳細(xì)信息的帳戶。”

該公司發(fā)現(xiàn)了電子商務(wù)網(wǎng)站、游戲網(wǎng)站、文件共享、視頻流和社交媒體以及其他互聯(lián)網(wǎng)目的地的cookie，以及用于跟蹤用戶和提供有針對(duì)性的廣告的cookie。

不幸的是，網(wǎng)絡(luò)攻擊者似乎也很好地利用了惡意軟件來(lái)攻擊特定的應(yīng)用程序。該數(shù)據(jù)庫(kù)包含從48個(gè)應(yīng)用程序中竊取的一系列憑據(jù)、自動(dòng)填充數(shù)據(jù)和支付信息數(shù)組。

“研究表明，惡意軟件針對(duì)的應(yīng)用程序主要是網(wǎng)絡(luò)瀏覽器，以竊取了大多數(shù)的數(shù)據(jù)，”分析稱。“該惡意軟件還從短信應(yīng)用程序、電子郵件客戶端、文件共享客戶端和一些游戲客戶端中竊取數(shù)據(jù)。”

排名前10的目標(biāo)應(yīng)用如下：

1. 谷歌瀏覽器(1940萬(wàn)條)

2. Mozilla FireFox(330萬(wàn)條)

3. Opera(200萬(wàn)條)

4. Internet Explorer/Microsoft Edge(130萬(wàn)條)

5. Chromium(100萬(wàn)條)

6. CocCoc(451,962條)

7. Outlook(111,732條)

8. Yandex瀏覽器(79,530條)

9. Torch(57,427條)

10. Thunderbird(42,057條)

如何防范自定義惡意軟件

不幸的是，一旦設(shè)備被感染，自定義惡意軟件就很難對(duì)付，NordLocker研究人員說(shuō)，因?yàn)樽鳛橐环N新型威脅，殺毒軟件無(wú)法識(shí)別它。所以，預(yù)防是最好的辦法。

他們建議采取以下做法以預(yù)防自定義惡意軟件：

• Web瀏覽器不擅長(zhǎng)保護(hù)敏感數(shù)據(jù)，所以請(qǐng)使用密碼管理器來(lái)保護(hù)您的憑據(jù)和自動(dòng)填充信息。
•  惡意軟件無(wú)法訪問(wèn)加密文件。
•  有些cookie的有效期為90天，有些cookie一整年內(nèi)都不會(huì)過(guò)期。因此請(qǐng)養(yǎng)成每月刪除cookie的習(xí)慣。
• 點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)經(jīng)常被用于傳播惡意軟件，建議只從開(kāi)發(fā)者的網(wǎng)站或其他知名來(lái)源下載軟件。
•  所有惡意軟件最終都會(huì)被識(shí)別，所以請(qǐng)確保您的防病毒軟件始終處于更新?tīng)顟B(tài)

本文翻譯自：https://threatpost.com/custom-malware-stolen-data/166753/如若轉(zhuǎn)載，請(qǐng)注明原文地址。