【安全资讯】针对韩国用户的信息窃取恶意软件

安恒威胁情报中心 2022-01-13 15:41:30 208人浏览

引言

NAVER是著名社交软件LINE的母公司,是韩国最大的搜索引擎和门户网站。研究人员在网络钓鱼电子邮件中,发现了一种伪装成NAVER网站文件的信息窃取恶意软件。

 

 

简况

研究人员在钓鱼电子邮件中观察到一个名为 NAVER.zip 的文件,该压缩文件包含一个名为“NaverProtector.exe”的可执行文件。邮件包含有关 Kakao 帐户的信息。当用户单击 <Lift Protection> 按钮时,会被重定向到 hxxp://mail2.daum.confirm-pw[.]link/kakao/?email=[email address] ,同时,恶意软件会窃取用户的帐户凭据。邮件如下图:

 

 

当用户访问钓鱼邮件中的父 URL(hxxp://mail2.daum.confirm-pw.link)时,会被重定向到 hxxp://downfile.navers.com-pass[.]online/ NAVER.zip 并下载 Naver.zip 文件。该文件的名称和图标看似与韩国知名网站“NAVER”相关,如下图:

 

 

文件运行时会创建 %AppData%\Local\Microsoft\Outlooka 文件夹,然后释放并执行其他恶意文件,如 AWasctUI.exe 和 rdpclipe.exe。AWasctUI.exe 收集用户 PC 信息并将其发送给攻击者,而 rdpclipe.exe 执行键盘记录。此外,该文件还在 Startup 文件夹中创建以下链接文件,以允许自动运行恶意文件:

  • \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AWastUI.exe.lnk
  • \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rdpclipe.exe.lnk

 

 

rdpclipe.exe运行时会在\AppData\Local\Microsoft\Outlooka文件夹中创建COMMA1UP_RKey.txt 并保存用户密钥等日志。AWasctUI.exe 运行时,使用 cmd /c systeminfo 命令将结果保存在名为 SysInfo_UP_[day]_[Hour]_[min].pdf 的 Outlooka 文件夹中。信息窃取程序将收集到的信息发送到 hxxp://66.94.98[.]48/ESOK/post2.php。

 

总结

该恶意软件伪装成与韩国门户网站NAVER相关的程序,因此很可能针对韩国用户,用户需要格外小心。

 

 

失陷指标(IOC)5
账号窃密 韩国 其他
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。