【安全资讯】SonicWall警告：新型恶意软件瞄准Gmail账户

概要：

SonicWall Capture Labs威胁研究团队最近发现了一种新型的AutoIT编译可执行文件，专门针对Gmail账户。该恶意软件名为“File.exe”，通过读取剪贴板数据、捕获按键记录等多种手段来危害用户账户安全。其主要功能包括数据窃取和系统操控，威胁范围广泛。

主要内容：

SonicWall Capture Labs威胁研究团队发现了一种新型的AutoIT编译恶意软件，名为MalAgent.AutoITBot。该恶意软件通过读取剪贴板数据、捕获按键记录等手段，试图控制用户的Gmail账户。它能够使用Microsoft Edge、Google Chrome和Mozilla Firefox三大主流浏览器打开Gmail登录页面，窃取用户的敏感信息如用户名和密码。

MalAgent.AutoITBot不仅限于访问电子邮件账户，还具备重启或关闭感染系统、以不同用户身份运行进程以及在检测到调试工具时阻止用户输入的功能。这些反分析特性使得研究人员难以分析其行为并制定对策。SonicWall团队利用Detect-It-Easy（DIE）和AutoITExtractor等工具对其行为和脚本进行了分析，发现该可执行文件经过高度混淆，导入了多个模糊的网络库。

研究人员在提取脚本后发现，恶意软件会通过accounts.google.com打开Gmail登录页面，并包含其他社交媒体平台如Facebook和Reddit的通用登录链接。这表明该恶意软件不仅针对Gmail，还试图从各种在线服务中窃取凭证。更令人担忧的是，MalAgent.AutoITBot能够在后台静默运行多个进程，增加了其隐蔽性和危害性。

MalAgent.AutoITBot的动态设置功能使其能够确定合适的环境与指挥控制（C2）服务器建立连接。如果套接字设置失败，恶意软件会调用WSAGetLastError Windows API进行故障排除。一旦连接成功，它会触发按键记录、屏幕捕获和文件枚举功能。尽管这些活动在测试中未被观察到，但这表明其在分析期间可能未能成功连接到C2服务器。