新型Windows惡意軟件盜取用戶大量數(shù)據(jù)

Uptycs 威脅研究團(tuán)隊報告稱，發(fā)現(xiàn)了一個名為 Meduza Stealer 的新型惡意軟件，專門針對 Windows 用戶和組織。

Meduza Stealer 旨在全面竊取數(shù)據(jù)，包括竊取用戶的瀏覽活動、提取大量與瀏覽器相關(guān)的數(shù)據(jù)。范圍涵蓋關(guān)鍵的登錄憑據(jù)到有價值的瀏覽歷史記錄和書簽等，沒有任何數(shù)字工件是安全的；甚至加密錢包擴展、密碼管理器和 2FA 擴展也容易受到攻擊?！叭绻患右钥刂?，受影響者可能會遭受嚴(yán)重后果，包括經(jīng)濟損失和可能對組織產(chǎn)生深遠(yuǎn)影響的大規(guī)模數(shù)據(jù)泄露。”

報告指出，Meduza Stealer 的管理員一直在使用 “復(fù)雜的營銷策略” 在推廣該惡意軟件。他們使用了一些業(yè)界最知名的防病毒軟件對 Meduza 竊取文件進(jìn)行靜態(tài)和動態(tài)掃描。隨后分享檢測結(jié)果的屏幕截圖稱，這種強大的惡意軟件可以逃避頂級防病毒解決方案的檢測。

Meduza Stealer 的狡猾之處在于其操作設(shè)計。該二進(jìn)制文件沒有采用混淆技術(shù)，因此更難識別和追蹤。此外，它在開始從受害者機器上竊取數(shù)據(jù)之前，會設(shè)法與攻擊者的服務(wù)器建立連接。如果連接失敗，它會立即終止，從而使增加追蹤的難度。

為了吸引潛在客戶，其通過網(wǎng)絡(luò)面板提供被盜數(shù)據(jù)的訪問權(quán)限；向潛在客戶展示了不同的訂購選項：一個月 199 美元、三個月 399 美元或終身計劃。用戶訂閱后即可完全訪問 Meduza Stealer 網(wǎng)絡(luò)面板，該面板提供受感染計算機上的 IP 地址、計算機名稱、國家名稱、存儲密碼數(shù)量、錢包和 cookie 等信息。然后訂閱者可以直接從網(wǎng)絡(luò)面板下載或刪除被盜數(shù)據(jù)，而數(shù)據(jù)刪除功能可以保證其他訂閱者無法使用該信息。

一旦成功滲透到機器中，Meduza Stealer 就會開始行動。它執(zhí)行的第一步是地理位置檢查，如果受害者的位置在竊取者預(yù)定義的排除國家列表中（俄羅斯、哈薩克斯坦、白俄羅斯、格魯吉亞、土庫曼斯坦、烏茲別克斯坦、亞美尼亞、吉爾吉斯斯坦、摩爾多瓦和塔吉克斯坦），惡意軟件操作會立即中止。

但是如果不在列表中，Meduza Stealer 會檢查攻擊者的服務(wù)器是否處于活動狀態(tài)。如果服務(wù)器無法訪問，竊取者也會立即終止其活動。如果位置檢查和服務(wù)器可訪問性這兩個條件都有利，那么竊取者就會繼續(xù)收集大量信息；包括收集系統(tǒng)信息、瀏覽器數(shù)據(jù)、密碼管理器詳細(xì)信息、采礦相關(guān)注冊表信息以及已安裝游戲的詳細(xì)信息。

研究人員指出，該惡意軟件收集的各種數(shù)據(jù)類型表明，感染具有廣泛的潛在影響；因為它不僅針對個人和財務(wù)數(shù)據(jù)，還針對特定系統(tǒng)和潛在的專有信息。收集到的數(shù)據(jù)被迅速上傳到攻擊者的服務(wù)器，加劇了漏洞發(fā)生的速度以及對有效檢測和保護(hù)措施的迫切需要。

為了防御 Meduza Stealer 等惡意軟件攻擊，建議：

定期安裝操作系統(tǒng)、瀏覽器和已安裝應(yīng)用程序的更新，以修補惡意軟件可以利用的漏洞。

下載文件或打開電子郵件附件時要小心，尤其是來自未知來源的文件或打開電子郵件附件時。打開文件之前使用安全軟件掃描文件。

為所有帳戶（包括瀏覽器、電子郵件和加密貨幣錢包）采用強大而獨特的密碼?？紤]使用密碼管理器來安全地存儲和管理密碼。

盡可能啟用 2FA，為帳戶添加額外的安全層。即使密碼被泄露，這也有助于防止未經(jīng)授權(quán)的訪問。

僅安裝來自受信任來源的瀏覽器擴展。定期檢查并刪除不必要或可疑的擴展程序，以最大限度地降低惡意軟件干擾的風(fēng)險。

密切關(guān)注財務(wù)賬戶，包括加密貨幣錢包，并定期查看交易歷史記錄是否有任何可疑活動。立即報告任何未經(jīng)授權(quán)的交易或安全漏洞。