以版权为主题的诱饵在秘密凭证盗窃活动中传播 PureLog Stealer

一种新的网络钓鱼活动正在利用虚假的版权侵犯通知来利用 PureLog Stealer（一种几乎完全在内存中运行的数据窃取恶意软件）来感染组织。趋势科技说该行动的目标行业包括医疗保健、政府、教育和酒店业，其中德国和加拿大的活动最为活跃，美国和澳大利亚的受害者也较多。

该攻击不依赖于 Windows 缺陷或浏览器漏洞。相反，它使用社会工程迫使受害者提出看似法律投诉，然后悄悄启动多阶段感染链，窃取浏览器凭据、加密货币钱包数据、浏览器扩展数据和基本系统详细信息。

这很重要，因为该活动将可信的诱饵与旨在避免轻易检测的交付链结合起来。趋势科技说该恶意软件使用加密的有效负载、远程密钥检索、基于 Python 的执行和内存中加载，这在磁盘上留下了很少的痕迹供传统防病毒工具标记。

PureLog 是一个信息窃取者作为一种低成本且易于使用的工具出售，这使得技术水平较低的威胁行为者也可以使用它。一旦它登陆到计算机上，它就可以收集 Chrome 凭据、扩展程序数据、加密货币钱包信息和一般主机详细信息，这些详细信息可以在以后支持帐户接管、欺诈或更广泛的妥协。

趋势科技表示，该活动使用了语言匹配的诱饵，其中德语信息针对德国，英语版本针对加拿大和其他地区。这种程度的本地化表明这是一次更加深思熟虑的操作，而不是随机的大规模垃圾邮件运行。

感染链如何运作

受害者首先收到一封网络钓鱼电子邮件，其中链接到恶意下载，而不是直接附加恶意软件。下载的文件使用类似于法律投诉的名称，这增加了目标在不询问的情况下打开它的机会。

文件运行后，会打开一个诱饵 PDF，让受害者看到一些无害的内容。在幕后，恶意软件联系攻击者基础设施，拉取伪装成的加密档案invoice.pdf，从单独的服务器获取解密密码，然后使用重命名的 WinRAR 二进制文件来解压真正的有效负载。趋势科技表示，最后阶段涉及重命名的 Python 解释器、混淆的 Python 脚本、AMSI 绕过代码、注册表持久性以及两个直接在内存中解密和启动 PureLog 的 .NET 加载程序。

攻击链一览

• 网络钓鱼电子邮件提供下载链接
• 受害者打开一个虚假的版权投诉可执行文件
• 屏幕上出现诱饵 PDF
• 恶意软件下载伪装成的加密档案invoice.pdf
• 单独的服务器在运行时返回解密密码
• 重命名的 WinRAR 可执行文件提取隐藏的有效负载
• 重命名的 Python 解释器运行混淆的脚本
• 该脚本修补内存中的 AMSI 并设置持久性
• 两个 .NET 加载程序解密并在内存中启动 PureLog Stealer

为什么防守者可能会错过它

这场战役之所以引人注目，是因为它避免了防守者通常寻找的迹象。趋势科技表示，该恶意软件以无文件方式执行，按需检索密钥，并使用内存加载，这大大减少了安全工具稍后可以检查的可疑磁盘活动的数量。

该脚本还会收集屏幕截图、计算机名称、登录用户名和已安装的防病毒产品，然后通过 HTTPS 将这些数据发送到命令和控制服务器。这可以让攻击者在 PureLog 开始窃取数据之前快速了解环境。

资料来源：趋势科技研究。

谁有危险

趋势科技称该活动已经影响了医疗保健、政府、教育和酒店组织。这些部门通常处理法律声明、合规请求以及面向客户或公众的通信，这使得版权投诉的诱惑更容易被相信。

最活跃的活动出现在德国和加拿大，但趋势科技也观察到美国和澳大利亚的受害者。这意味着该活动并不局限于某一地区，即使最初的诱饵是针对不同地区量身定制的。

安全团队现在应该做什么

组织应警告员工，版权投诉、商标声明和类似的法律消息可能被用作恶意软件的诱惑，特别是当它们包含下载链接而不是普通文档附件时。用户意识在这里很重要，因为攻击是从手动执行开始的，而不是从漏洞利用开始。

趋势科技还建议监控异常的注册表运行键条目，监视来自奇怪位置的 Python 或 WinRAR 活动，并阻止与该活动所涉及的已知恶意域的出站连接。在这种情况下，行为检测和网络遥测比仅签名防御更重要。

防守步骤

• 将意外的版权或法律投诉电子邮件视为可疑
• 阻止或检查通过电子邮件链接传送的下载
• 监视器HKCU\Run对于不寻常的持久性条目
• 监视来自非标准路径的 Python 或 WinRAR 进程
• 使用基于行为的检测，而不仅仅是基于签名的 AV
• 检查到可疑基础设施的出站 HTTPS 连接

FAQ