Unit 42的研究人员确定了针对酒店业(特别是酒店预订)的活动,攻击者使用定制的恶意软件CapturaTela窃取客户的信用卡信息。恶意软件通过电子邮件传播,邮件主题通常与旅行预订和优惠券有关,主要针对巴西用户。初步分析显示攻击者没有使用任何新技术或高级手段。在基础架构级别,攻击者利用动态DNS(DDNS)服务,如DuckDNS、WinCo或No-IP,其中许多提供免费帐户,从而降低了攻击者基础架构成本。有效载荷是一个用.NET编写的PE文件,具有信息窃取功能,够将屏幕截图保存到Bitmap对象中。除了使用自定义木马CapturaTela之外,攻击者还使用LimeRAT、RevengeRAT、NjRAT、AsyncRAT、NanoCoreRAT以及RemcosRAT执行其恶意活动。
发表于 2019-3-13 21:31
