神秘的自定义恶意软件收集从Windows计算机窃取的数十亿被盗数据。被盗信息包括660万个文件和2600万个凭据,以及20亿个Web登录cookie——其中4亿个在数据库被发现时仍然有效。据NordLocker研究人员称,这起事件的罪魁祸首是一种隐秘的未知恶意软件,它在2018年至2020年间通过木马化的Adob??ePhotoshop、盗版游戏和Windows破解工具进行分发。他们补充说,运营商不太可能具备开展数据收集活动的任何深度技能。“事实是,任何人都可以访问自定义恶意软件,它很便宜,可定制,而且在网络上随处可见,”该公司在周三的一篇帖子中说。“这些病毒的暗网广告揭示了更多关于这个市场的信息。例如,任何人都可以以低至100美元的价格获得自己的定制恶意软件,甚至可以获得有关如何使用被盗数据的课程。事实上,恶意软件确实是定制的-广告商承诺他们可以制造一种病毒来攻击买家想要的几乎任何应用程序。”NordLocker发现,2600万个登录凭据包含110万个独特的电子邮件地址,用于一系列不同的应用程序和服务。这些包括社交媒体、在线市场、求职网站、游戏网站、金融服务、电子邮件等的登录。NordLocker,一个黑客组织不小心泄露了数据库位置。托管数据的云提供商收到通知,因此数据库已关闭,TroyHunt将受感染的电子邮件地址添加到他的HaveIBeenPwned存储库中,以便人们可以检查他们是否受到影响Hunt解释说:“此事件已被标记为‘敏感’,因此无法公开搜索。”对于个人而言,通过通知服务验证您的电子邮件地址将揭示它是否在此数据集中。对于组织而言,域搜索功能将允许组织搜索可以验证控制的所有域。”数百万被盗文件在文件方面,NordLocker发现该恶意软件从桌面和下载文件夹中提取了600万个文件。战利品包括300万个文本文件、超过100万个图像文件、超过600,000个Word和.PDF文件,以及随机的其他文件类型。据分析,“超过50%的被盗文件是文本文件”。“这个集合中的大部分内容可能包含软件日志。这也令人担忧,有些人甚至使用记事本来保存他们的密码、个人笔记和其他敏感信息。”该恶意软件还窃取了696,000个.PNG和224,000个.JPG图像文件;并且,在感染计算机后,它会使用设备的网络摄像头制作屏幕截图并拍照。被盗Cookies大约22%的被盗cookies在被发现之日仍然有效,这可能使骗子能够进行一系列邪恶的活动。“Cookie帮助黑客准确了解目标的习惯和兴趣,”NordLocker说。“在某些情况下,cookies甚至可以访问个人的在线帐户……[例如],在线购物cookies用于在购物时存储购物车数据。但是,它们可用于劫持购物者的会话并闯入可以存储他们的家庭住址和信用卡详细信息的帐户。”该公司发现电子商务网站、游戏网站、文件共享、视频流和用于社交媒体和其他互联网目的地的Cookie,以及用于跟踪用户和提供有针对性的广告的cookie。不幸的是,网络犯罪分子似乎也在充分利用恶意软件针对特定应用程序。该数据库包含一系列凭证、自动填充数据和从48个应用程序中窃取的支付信息。“研究表明,恶意软件主要针对应用程序,主要是网络浏览器,以窃取大部分数据,”分析称。“恶意软件还从消息传递应用程序、电子邮件客户端、文件共享客户端和一些游戏客户端窃取数据。“排名前10的目标应用程序如下:1.GoogleChrome(1940万个条目)2.MozillaFireFox(330万个条目)3.Opera(200万个条目)4.InternetExplorer/MicrosoftEdge(130万个条目)5.Chromium(100万次点击)6.CocCoc(451,962次点击)7.Outlook(111,732次点击)8.Yandex浏览器(79,530次点击)9.Torch(57,427次点击)10.Thunderbird(42,057次点击)如何防范自定义恶意软件不幸的是不幸的是,一旦设备被感染,自定义恶意软件就很难对抗,NordLocker研究人员说,因为它是杀毒软件无法识别的新威胁。因此,预防是最好的行动方案。他们推荐以下做法:恶意软件:Web浏览器不擅长保护敏感数据,因此请使用密码管理器来保护您的凭据和自动填充信息。恶意软件无法访问加密文件。有些cookie的有效期为90天,有些cookie已满,不会在一年。所以养成每月删除cookies的习惯。点对点网络通常用于传播恶意软件,建议仅从开发者网站或其他信誉良好的来源下载软件。所有恶意软件最终都会被识别出来,因此请确保您的防病毒软件始终处于更新状态。本文翻译自:https://threatpost.com/custom-malware-stolen-data/166753/
