【安全资讯】员工福利软件内含间谍软件功能
引言
近日,研究人员收到了一份“Beijing One Pass ”的副本,经过分析,在该应用程序中发现了类似间谍软件的功能,包括持久性机制、收集用户数据(如屏幕截图和按键)、后门功能、以及禁用安全和备份相关服务等。“Beijing One Pass ”是一个可以访问国家福利信息的应用程序,许多公司在系统上安装了该应用程序,以便访问数字平台管理员工福利。 目前,尚不清楚间谍软件的攻击意图;
简况
研究人员分析发现了该软件的可疑行为,这些行为与从主应用程序启动的多个释放的文件和后续进程有关。安装 Beijing One Pass PC客户端后,生成的后续流程树如下图:
该应用程序包含与间谍软件一致的功能,包括以下功能:
- 1.能够在 Windows 启动时自动运行以确保持久性
- 2.在文件运行时定期检查与操作系统的人机交互
- 3.尝试读取、创建或修改系统注册表 ROOT 证书
- 4.在主机设备上禁用安全和备份服务
- 5.允许使用 ActiveX 的域,这可能允许它连接到其他 Internet 资源
- 6.从剪贴板读取数据
- 7.录制截图
- 8.捕获和检索击键
还有一些迹象表明该文件包含打开端口和窃听传入连接的后门功能,此功能存在于名为“wmControl.exe”的 CertAppEnv 安装随附的驱动程序中。应用程序中还包含反分析功能,这通常与恶意软件有关。目前,研究人员无法确认包含间谍软件功能的“BJ yitong”背后的意图,但不建议用户在可访问敏感数据的设备上安装此类软件。
失陷指标(IOC)16
这么重要的IOC情报,赶紧
登录
来看看吧~
相关链接
https://go.recordedfuture.com/hubfs/reports/cta-2021-0729.pdfhttps://www.recordedfuture.com/beijing-one-pass-benefits-software-spyware/
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享