安全研究人员发现了一种新型Python后门,利用合法隧道服务作为桥梁窃取凭证。该恶意软件通过恶意文件传播,并采用规避技术躲避杀毒软件检测。一旦入侵系统,它会与C2服务器建立加密连接,增加流量拦截难度。其目标是窃取Chrome和Firefox等浏览器中存储的密码,以及AWS和Azure等云平台的访问权限。
合法隧道成为数据盗窃的掩护 🕳️
该后门利用合法隧道服务隐藏其命令与控制流量,增加了边界安全系统检测的难度。该恶意软件使用Python编写,通过标准库与操作系统交互,从浏览器密码存储中提取数据,并利用API收集云服务凭证。其模块化设计允许在不修改恶意软件核心的情况下更新窃取模块。研究人员指出,其规避能力包括沙箱检测和延迟执行,以避免自动化分析。
网络犯罪分子也会使用VPN,但目的是盗窃 🦹
看来连坏人都与时俱进,现在像普通上班族用VPN看Netflix一样使用隧道服务。区别在于他们找的不是剧集,而是你的AWS和Azure密码。最可悲的是,这种隧道服务完全合法且正当,我们甚至无法责怪工具本身。这就像小偷用优步到你家:车本身没错,但行程依然可疑。