安全库消息,近日国外知名安全公司Uptycs的研究团队报告称,发现了一个名为 Meduza Stealer 的新型恶意软件,专门针对 Windows 用户和组织,目前只有十个特定国家/地区免受其影响。
Meduza Stealer 恶意软件旨在全面窃取数据,包括窃取用户的浏览活动、提取大量与浏览器相关的数据。范围涵盖关键的登录凭据到有价值的浏览历史记录和书签等,没有任何数字工件是安全的;甚至加密钱包扩展、密码管理器和 2FA 扩展也容易受到攻击。“如果不加以控制,受影响者可能会遭受严重后果,包括经济损失和可能对组织产生深远影响的大规模数据泄露。”
报告指出,Meduza Stealer 的管理员一直在使用 “复杂的营销策略” 在推广该恶意软件。他们使用了一些业界最知名的防病毒软件对 Meduza 窃取文件进行静态和动态扫描。随后分享检测结果的屏幕截图称,这种强大的恶意软件可以逃避顶级防病毒解决方案的检测。
Meduza Stealer 的狡猾之处在于其操作设计。该二进制文件没有采用混淆技术,因此更难识别和追踪。此外,它在开始从受害者机器上窃取数据之前,会设法与攻击者的服务器建立连接。如果连接失败,它会立即终止,从而使增加追踪的难度。
为了吸引潜在客户,其通过网络面板提供被盗数据的访问权限;向潜在客户展示了不同的订购选项:一个月 199 美元、三个月 399 美元或终身计划。用户订阅后即可完全访问 Meduza Stealer 网络面板,该面板提供受感染计算机上的 IP 地址、计算机名称、国家名称、存储密码数量、钱包和 cookie 等信息。然后订阅者可以直接从网络面板下载或删除被盗数据,而数据删除功能可以保证其他订阅者无法使用该信息。
图1 – 通过网络犯罪论坛和电报投放广告
更令人担忧的是,大部分防病毒软件已被证明对Meduza窃取程序二进制文件无效,无法静态或动态地检测到它,如上图是对静态音视频文件的扫描结果,显示并未发现病毒。
一旦成功渗透到机器中,Meduza Stealer 就会开始行动。它执行的第一步是地理位置检查,如果受害者的位置在窃取者预定义的排除国家列表中(俄罗斯、哈萨克斯坦、白俄罗斯、格鲁吉亚、土库曼斯坦、乌兹别克斯坦、亚美尼亚、吉尔吉斯斯坦、摩尔多瓦和塔吉克斯坦),恶意软件操作会立即中止。
但是如果不在列表中,Meduza Stealer 会检查攻击者的服务器是否处于活动状态。如果服务器无法访问,窃取者也会立即终止其活动。如果位置检查和服务器可访问性这两个条件都有利,那么窃取者就会继续收集大量信息;包括收集系统信息、浏览器数据、密码管理器详细信息、采矿相关注册表信息以及已安装游戏的详细信息。
研究人员指出,该恶意软件收集的各种数据类型表明,感染具有广泛的潜在影响;因为它不仅针对个人和财务数据,还针对特定系统和潜在的专有信息。收集到的数据被迅速上传到攻击者的服务器,加剧了漏洞发生的速度以及对有效检测和保护措施的迫切需要。
为了防御 Meduza Stealer 等恶意软件攻击,建议:
定期安装操作系统、浏览器和已安装应用程序的更新,以修补恶意软件可以利用的漏洞。 下载文件或打开电子邮件附件时要小心,尤其是来自未知来源的文件或打开电子邮件附件时。打开文件之前使用安全软件扫描文件。 为所有帐户(包括浏览器、电子邮件和加密货币钱包)采用强大而独特的密码。考虑使用密码管理器来安全地存储和管理密码。 尽可能启用 2FA,为帐户添加额外的安全层。即使密码被泄露,这也有助于防止未经授权的访问。 仅安装来自受信任来源的浏览器扩展。定期检查并删除不必要或可疑的扩展程序,以最大限度地降低恶意软件干扰的风险。 密切关注财务账户,包括加密货币钱包,并定期查看交易历史记录是否有任何可疑活动。立即报告任何未经授权的交易或安全漏洞。
更多详情可查看Uptycs官方博文:https://www.uptycs.com/blog/what-is-meduza-stealer-and-how-does-it-work。