安全研究人员发现了一种新型Python后门程序,利用合法隧道服务作为桥梁窃取凭证。该恶意软件通过恶意文件传播,并采用规避技术躲避杀毒软件检测。一旦入侵系统,它会与C2服务器建立加密连接,使流量拦截变得困难。其目标是窃取Chrome和Firefox等浏览器中存储的密码,以及AWS和Azure等云平台的访问权限。
合法隧道成为数据窃取的掩护 🕳️
该后门利用合法隧道服务隐藏其命令与控制流量,使边界安全系统难以检测。该程序采用Python编写,使用标准库与操作系统交互,从浏览器密码存储中提取数据,并通过API收集云服务凭证。其模块化设计允许在不修改恶意软件核心的情况下更新窃取模块。研究人员指出,其规避能力包括沙箱检测和延迟执行,以避开自动化分析。
网络犯罪分子也会使用VPN,但目的是盗窃 🦹
看来连坏蛋都与时俱进了,现在他们像任何想在上班时看Netflix的上班族一样使用VPN隧道。区别在于他们找的不是剧集,而是你的AWS和Azure密码。最可悲的是,隧道服务完全合法合规,我们甚至无法责怪工具本身。这就像小偷用优步到你家:车本身没错,但行程依然可疑。