网络安全公司Deep Instinct的研究人员Guy Propper近期发现了一场正在进行的网络钓鱼活动，其针对全球数百家企业利用简单而有效的恶意软件窃取其电子邮件和浏览器凭据。据悉，攻击行为者使用的恶意PDF文档来传播Separ恶意软件。

自2019年1月底开始以来，它已经影响了200多家公司和1000多名个人，受害者主要集中在东南亚、中东和北美地区。另外，据研究人员称，幕后攻击行为者每天都会上传其窃取的数据。

该攻击活动之所以能够“顺利进行”，原因在于Separ恶意软件幕后的凭证窃取者采用了规避检测的简单但危险的策略：综合利用合法可执行文件和短脚本。

研究人员表示，早在2017年11月就已经存在早期的Separ变种，相关的信息窃取者在2013年就开始活跃。

此次攻击活动的攻击行为者于众不同之处在于，他使用了一种行之有效的技术——离地攻击（living off the land）。黑客们过去曾使用这种流行的策略来发起基于合法文件的攻击。这些合法文件要么在受攻击组织内很常见，要么就是广泛存在的管理工具，它们可能被攻击者滥用以执行各种恶意功能。

就Separ而言，这意味着攻击者使用短脚本、批处理文件以及合法的可执行文件来执行其所有的恶意程序。下面将详细介绍这些合法的可执行文件，包括SecurityXploded提供的浏览器密码和电子邮件密码转储工具，以及NcFTP的软件。

攻击流程

攻击始于一封附有恶意附件的网络钓鱼电子邮件——本案例，恶意附件是一个诱饵PDF文档，伪造成一个可以自解压可执行文件。据研究人员称，虚假文件涉及报价、货运和设备规格，他们因此推测攻击似乎针对的是企业组织。

一旦受害者点击附加的“PDF文档”，自解压工具就会调用wscript.exe来运行名为adobel.vbs的Visual Basic脚本（VB脚本）。

VB脚本开始运行后，它会执行一系列具有各种恶意功能的批处理脚本。研究人员表示，这些脚本伪装成虚假的Adobe相关程序，可以明显看到恶意脚本和可执行文件的名称与Adobe相关程序相似：

“自解压工具本身包含攻击中能够利用的所有文件：一个VB脚本，两个批处理脚本和四个可执行文件，分别名为：adobel.vbs、adob01.bat、adob02.bat、adobepdf.exe、adobepdf2.exe、ancp.exe和Areada.exe。”

VB脚本运行的第一个批处理脚本adob01.bat

 

 

攻击流程

这些脚本执行一系列恶意功能，包括更改系统的防火墙设置，以及窃取其所有电子邮件和浏览器凭据。同时，恶意软件还会打开一个空的诱饵.jpg图像，以隐藏其活动。

为了窃取凭据，Separ使用SecurityXploded提供的密码转储工具。存在于初始自解压工具中的SecurityXploded会收集各种用户凭据并将其上载到托管服务中。

有趣的是，此恶意软件使用文件传输协议（FTP）客户端将其窃取的数据上传到名为freehostia[.]com的合法服务器。这项可执行文件和服务器都是合法的，研究人员说：ancp.exe的来源是一个真实的FTP软件提供商（NcFTP），而FreeHostia是一项众所周知且广泛使用的托管服务。

在多次访问FTP服务器后，研究人员还发现受害者人数一直在明显增长，这意味着攻击正在持续进行并成功感染了更多受害者。“虽然Separ恶意软件使用的攻击原理非常简单，攻击者也没有试图逃避分析，但受此影响的受害者数量一直持续增多，这表明这种简单的攻击非常有效，”Guy Propper说道。

 

参考：http://www.mottoin.com/news/134552.html