威胁分析师发现了一种新的复杂网络钓鱼攻击，其特点是隐蔽的信息窃取恶意软件会泄露各种敏感数据。

该恶意软件不仅针对保存的密码等传统数据类型，还包括会话 cookie、信用卡信息、比特币相关扩展和浏览历史记录。

然后，收集的数据将作为压缩附件发送到远程电子邮件帐户，这突显了信息窃取器功能的重大转变。

攻击方法

根据梭子鱼网络发布的公告，攻击始于一封网络钓鱼电子邮件，该电子邮件诱使收件人打开附加的采购订单文件。

这些以语法错误为特征的电子邮件来自虚假地址。附件包含一个 ISO 光盘映像文件，它是 CD 或 DVD 等光盘中数据的精确复制品。 此图像文件中嵌入了一个 HTA（HTML 应用程序）文件，它允许在桌面上执行应用程序，而不受浏览器的安全限制。

执行 HTA 文件后，会激活一系列恶意负载。此序列从从远程服务器下载并执行经过混淆的 JavaScript 文件开始，然后触发一个 PowerShell 文件，该文件从同一服务器检索 ZIP 文件。

ZIP 文件包含基于 Python 的信息窃取恶意软件。

该恶意软件会短暂运行以收集数据，然后删除所有文件（包括自身）以避免被发现。

恶意软件功能和数据外泄

信息窃取程序旨在收集全面的浏览器信息和文件。

它从 Chrome、Edge、Yandex 和 Brave 等浏览器中提取 MasterKeys，并捕获会话 cookie、保存的密码、信用卡信息和浏览器历史记录。此外，该恶意软件还从与比特币相关的浏览器扩展程序中复制数据，包括 MetaMask 和 Coinbase Wallet。

该恶意软件以 PDF 文件为目标并压缩整个目录，包括桌面、下载、文档和特定 %AppData% 文件夹中的目录。然后，被盗数据将通过电子邮件发送到域 maternamedical.top 的各个地址，每个地址都指定用于特定类型的信息，如 cookie、PDF 文件和浏览器扩展。

对网络安全的影响

根据 Barracuda 的说法，这次攻击代表了数据泄露威胁的新前沿，恶意软件的广泛数据收集能力构成了严重风险。

“大多数网络钓鱼攻击都与数据盗窃有关，但在这里，我们看到的是由老练的信息窃取者执行的大规模数据泄露攻击，”梭子鱼威胁分析师经理Saravanan Mohan说。

“可以获取的敏感信息的数量和范围是广泛的。有些可能会被用于进一步的恶意活动，例如横向移动或金融欺诈。随着网络犯罪分子不断开发复杂的方法来窃取关键信息，企业在网络安全工作中保持警惕和积极主动非常重要。

该公司推荐的关键策略包括实施强大的安全协议、持续监控可疑活动以及对员工进行潜在威胁的教育。

利用人工智能和机器学习的多层电子邮件保护解决方案还有助于在此类网络钓鱼尝试到达用户收件箱之前检测和阻止它们。