新窃密软件 NodeStealer 可以窃取所有浏览器 Cookie

最新推荐文章于 2024-06-14 09:13:13 发布
最新推荐文章于 2024-06-14 09:13:13 发布
阅读量846 收藏 20
点赞数 18
文章标签: 网络 黑客 服务器 安全 web安全 网络安全 网安入门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84466227/article/details/139236577
版权

Netskope 的研究人员正在跟踪一个使用恶意 Python 脚本窃取 Facebook 用户凭据与浏览器数据的攻击行动。攻击针对 Facebook 企业账户,包含虚假 Facebook 消息并带有恶意文件。攻击的受害者主要集中在南欧与北美,以制造业和技术服务行业为主。

2023 年 1 月,Meta 发现了名为 NodeStealer 的基于 JavaScript 开发的恶意软件,该恶意软件旨在窃取 Facebook 账户的 Cookie 与登录凭据。

本次发现的攻击行动是基于 Python 开发的 NodeStealer 的新变种,其意图仍然是入侵 Facebook 企业账户。与此前的 NodeStealer 版本不同的是,该版本的 NodeStealer 还会窃取所有的可用的凭据与 Cookie,不仅仅局限于 Facebook。

通过 Facebook 进行分发

研究人员发现新的 NodeStealer 变种部署在 Facebook CDN 上,作为消息附件发送给受害者。诱饵图片引诱 Facebook 账号的管理员下载恶意软件,与此前不同的是,该攻击行动中使用了批处理文件而不是可执行文件作为初始 Payload。

1695222232_650b09d879a2891673cef.png!small?1695222232886

研究人员发现了相同的、多种语言的批处理文件,说明攻击者对不同的受害群体进行了定制化。

1695222241_650b09e1207626989d194.png!small?1695222241383

下载脚本文件后,用户可能会点击运行批处理文件。由于批处理文件使用的字符编码不同,默认情况下使用文本编辑器打开会显示不连贯的字符。这也是攻击者进行混淆的一种方式,使用正确的编码打开即可对脚本进行分析。

1695222250_650b09ead80284bc8a238.png!small?1695222251606

用户执行批处理文件后,首先会打开 Chrome 浏览器并跳转到良性页面。Chrome 进程后续不会被使用,应该只是为了让用户相信该文件是良性。但在后台,Powershell 代码会使用 Invoke-WebRequest 从新注册的恶意域名(vuagame[.]store)下载多个文件。率先下载的两个 ZIP 文件(Document.zip 与 4HAI.zip)会被存储在 C:\Users\Public 文件夹中。Document.zip 文件中包含 Python 解释器及其所需的各种库,而 4HAI.zip 中包含恶意软件 Payload。

持久化

与此前的版本相比,该 NodeStealer 的一个主要区别在于持久化方法。4HAI.zip文件中包含另一个要复制到启动文件夹的恶意批处理脚本,该脚本会运行 PowerShell 代码并下载执行名为 project.py 的 Python 脚本。与之前的批处理脚本一样,也需要更改编码才能正常查看该脚本。

将批处理脚本复制到启动文件夹后,将会下载并执行另一个名为 rmv.py 的 Python 脚本清除痕迹。

被窃的凭据与浏览器 Cookie

启动文件夹中的恶意 Python 脚本将嵌入的十六进制编码数据转换为二进制。这部分数据被压缩了多次,可能是为了逃避检测。在经过多次解压后,使用 exec 函数来运行该脚本。

1695222283_650b0a0b7e96977d74ddc.png!small?1695222284903

运行后,脚本会检查是否有 Chrome 进程正在运行。如果确认就终止该进程,打开 Chrome 只是为让用户相信其安全性。但窃密时需要保证 Chrome 未在运行,才能访问浏览器数据。

1695222296_650b0a18f190ef00ee96f.png!small?1695222297096

之后,NodeStealer 通过 IPinfo 收集用户的 IP 地址与国家代码,并将其作为保存收集数据的文件夹名称。

1695222310_650b0a26be1bb09f9f92a.png!small?1695222311317

恶意脚本会收集 Chrome 浏览器多方面的数据,例如登录数据、Cookie 与本地状态等。所有复制的文件都会被放置在临时文件夹中,以用户的 IP 地址与国家/地区代码作为文件夹名称。与之前的 NodeStealer 类似,也是针对多浏览器进行攻击的,例如 Microsoft Edge、Brave、Opera、Cốc Cốc、Opera 和 Firefox。复制文件的文件夹稍后会被删除,清除窃取数据的证据。

1695222323_650b0a334dccfdb75cb88.png!small?1695222324324

收集浏览器文件后,NodeStealer 首先收集加密密钥,后续使用这些密钥来解密加密的密码。然后收集用户名、密码与登录的 URL,并将这些数据保存在名为 Password.txt的文本文件中,该文件位于之前创建的临时文件中。

NodeStealer 还会收集 Cookie 数据,例如域名、Cookie 与其他重要数据。与之前的版本不同,该变种会收集浏览器的所有 Cookie,无论其是否与 Facebook 有关。当然,该恶意软件仍然在积极寻找 Facebook 的数据,与 Facebook 相关的数据被保存在不同的文本文件中。窃取用户的 Cookie 可能会被用于后续的针对性攻击,Cookie 也可以被用户绕过登录或者双因子验证等机制,帮助攻击者接管账户或者进行欺诈交易。

1695222338_650b0a428771df71ee9ef.png!small?1695222339171

通过 Telegram 进行数据回传

与过去基于 Python 的 NodeStealer 一样,所有的文件都是通过 Telegram 回传的。

1695222348_650b0a4cb4ea410ab6f3e.png!small?1695222349004

一旦数据被泄露,该脚本就会对创建的所有文件与文件夹进行清理。由于恶意批处理文件被放置在启动文件夹中,用户凭据与其他浏览器数据将会不断被收集回传。

1695222356_650b0a5415862f42676bd.png!small?1695222356684

结论

研究人员认为这是基于 Python 的 NodeStealer 的一个新变种,与早期变种相比,新变种使用批处理文件下载与运行后续 Payload。并且,新变种会从多个浏览器与多个网站窃取用户凭据与 Cookie。攻击者收集到了足够的信息后,这些信息可能会被用于进行更有针对性的攻击。窃取了 Facebook Cookie 与凭证的攻击者可以使用这些信息来接管账户,利用合法的页面进行欺诈性交易。

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取

CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)

同时每个成长路线对应的板块都有配套的视频提供: 

大厂面试题

视频配套资料&国内外网安书籍、文档

当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料

所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~ 

 读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)

特别声明:

此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。

白帽黑客-晨哥
关注
  • 18
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
逆向python窃密软件
摔不死的笨鸟的博客
06-01 1114
python逆向
窃取Chrome的Cookie后进行Session重用
摔不死的笨鸟的博客
12-17 670
许多窃密木马都具有偷取cookie的功能,cookie中包含了session的信息,如果session仍在有效期内,那么攻击者可以利用session id等信息直接与服务器建立联系。 session的原理 https://blog.csdn.net/xianyadong/article/details/81283696 Chrome浏览器Cookies的本地存储位置在%AppData%Google\Chrome\User Data\Default。cookie文件几乎一直处在修改状态,本质是sqlite3
窃密软件访问的文件和注册表
摔不死的笨鸟的博客
05-09 290
注册表路径 SAM - Encrypted Local Account Pwd hashes ‘\REGISTRY\MACHINE\SAM’ ‘\REGISTRY\MACHINE\SAM\SAM\Domains*’ SYSTEM - Bootkey/Syskey GBG, JD, Skew1 ‘\REGISTRY\MACHINE\SYSTEM\ControlSet00?\Control\Lsa\JD’ ‘\REGISTRY\MACHINE\SYSTEM\ControlSet00?\Control\Ls
史上最强窃密软件来袭,手机或成泄密工具
互联网安全研究院
05-16 1095
有消息称,以色列间谍软件Pegasus(飞马)攻击升级,受害者手机在无任何操作的情况下,全部数据将被窃取,该软件目前已成最强窃密软件。 英国 《卫报》认为,飞马软件“可能是有史以来最强大的间谍软件”。 调查显示,目前已在世界各地发现超过 450 起疑似飞马入侵事件,受害者遍布世界各地,受害者中包括不少国家政要人员,甚至是一些国家的前领导人,对国家安全构成严重的威胁。 被感染的部分事件 西班牙 5月初,西班牙首相桑切斯确认遭飞马软件入侵,成为现任全球政府首脑的首个确认案例,黑客从桑切斯的手机中窃取
窃密恶意软件通过仿冒盗版软件下载网站进行传播
qq_69775412的博客
09-02 1010
自从 Napster 在互联网上发布盗版已经有二十余年,海盗湾种子下载站出现也近十年。尽管许多国家都针对此发布了相关的法律与禁令,但是盗版依旧屡禁不止,许多人都会下载与使用。互联网上也有很多宣传破解软件的的广告,出现在 Google 的搜索结果与网站的广告位中。Google 搜索结果中的仿冒盗版下载网站安全研究人员最近发现了通过仿冒盗版软件下载网站进行恶意软件传播的攻击行动。如上所示,Google 的搜索结果中就包含此类虚假网站,这些网站看起来与真正的盗版下载网站差不多。
网络安全威胁——勒索软件
聚集机器学习、信息安全
12-01 1571
勒索软件又称勒索病毒,是一种特殊的恶意软件。勒索软件的特殊之处在于,它采用加密等技术手段限制受害者访问系统或系统内的数据(如文档、邮件、数据库、源代码等),受害者需要支付一定数量的赎金,才有可能重取得数据控制权,从而达到勒索的目的。
“魔盗”窃密木马(FakeCDR)研究
不忘初心,护天下安全!
09-18 1600
近期,客户被通报存在FakeCDR恶意事件,该病毒家族在互联网上知之甚少,在此进行说明。2022年8月初,CNCER监测到一批伪装成CorelDraw、Notepad++、IDA Pro、WinHex等多款实用软件进行传播的窃密木马。通过跟踪监测发现其每日上线境内肉鸡数(以IP数计算)最多已超过1.3万.
利用计算机窃取国家秘密的犯罪案例,中国泄密案件典型案例 最泄密警示案例(4)...
weixin_36163672的博客
06-15 2292
9.在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的;【解读】在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换,容易被植入“木马”等窃密程序,使涉密信息系统受到远程控制,导致国家秘密被窃取。【案例】2009年2月,某涉密单位研究所所长张某,私自更换办公室涉密计算机,将原涉密计算机硬盘安装在计算机上,并在无任何技术防护措施的计...
窃密WebShell检测方法
02-26
黑客在利用WEB应用漏洞攻击成功后,通常会利用植入Webshell后门实现对应用系统篡改、对操作系统控制以及对数据库中敏感数据的窃取。攻击者通过浏览器或者控制端与被控制的WEB应用系统之间通过开启
全程软件测试
06-01
软件测试pdf资源,对软件测试学习有很大的帮助
窃密者Facefish分析报告.docx
05-16
Facefish 是一种 Linux 平台的窃密后门恶意软件,它由 Dropper 和 Rootkit 两个部分组成。 Dropper 负责释放 Rootkit,并配置 Rootkit 的运行环境,而 Rootkit 则是主要的恶意模块,负责窃取用户的登录凭证、上报...
C++编写的窃取密码程序源代码
04-27
C++编写的窃取密码程序源代码,C++编写的窃取密码程序源代码
面向云计算平台的信息安全等级保护测评实践与建议
最新发布
ddcajdkdl的博客
06-14 623
面向云计算平台的信息安全等级保护测评是一项系统工程,需要政府、云服务商、用户及第三方测评机构等多方共同努力,通过持续的技术创与管理优化,确保云计算环境下的信息安全,为数字经济发展提供坚实的安全保障。
Linux网络编程(二)Socket编程
Oafz的博客
06-12 283
【代码】Linux网络编程(二)Socket编程。
Wireshark TS | 应用传输丢包问题
7ACE的博客
06-09 842
Wireshark TS | 应用传输丢包问题
网络安全技术实验一 信息收集和漏洞扫描
zzzfff__的博客
06-09 996
了解信息搜集和漏洞扫描的一般步骤,利用Nmap等工具进行信息搜集并进行综合分析;掌握TCP全连接扫描、TCP SYN扫描的原理,利用Scapy编写网络应用程序,开发端口扫描功能模块;使用漏洞扫描工具发现漏洞并进行渗透测试。
Android WebSocket长连接的实现
Billy_Zuo的博客
06-12 1445
WebSocket 协议在2008年诞生,2011年成为国际标准。所有浏览器都已经支持了。它的最大特点就是,服务器可以主动向客户端推送信息,客户端也可以主动向服务器发送信息,是真正的双向平等对话,属于[“服务器推送技术”]的一种。WebSocket的特点包括:建立在 TCP 协议之上,服务器端的实现比较容易。与 HTTP 协议有着良好的兼容性。默认端口也是80和443,并且握手阶段采用 HTTP 协议,因此握手时不容易屏蔽,能通过各种 HTTP 代理服务器。支持双向通信,实时性更强。
请你写一个深度学习的代码,作用为可以发现数据中的异常行为,如窃密、病毒攻击和数据篡改等。
05-03
好的,我可以给你提供一个基于深度学习的异常检测的代码。这个代码的主要目的是使用自编码器(Autoencoder)来检测输入数据中的异常行为。以下是代码: ```python import tensorflow as tf from tensorflow.keras.layers import Input, Dense from tensorflow.keras.models import Model # 建立自编码器模型 input_data = Input(shape=(input_dim,)) encoded = Dense(encoding_dim, activation='relu')(input_data) decoded = Dense(input_dim, activation='sigmoid')(encoded) autoencoder = Model(input_data, decoded) # 建立编码器模型 encoder = Model(input_data, encoded) # 编译自编码器模型 autoencoder.compile(optimizer='adam', loss='binary_crossentropy') # 训练自编码器模型 autoencoder.fit(x_train, x_train, epochs=epochs, batch_size=batch_size, shuffle=True, validation_data=(x_test, x_test)) # 使用编码器模型预测数据 encoded_data = encoder.predict(x_test) # 计算重构误差 reconstruction_error = tf.keras.losses.mae(x_test, encoded_data) # 使用阈值来检测异常行为 threshold = np.mean(reconstruction_error) + np.std(reconstruction_error) anomalies = np.where(reconstruction_error > threshold)[0] ``` 这个代码中,我们使用自编码器来学习输入数据的表示,并计算输入数据的重构误差。如果某个输入数据的重构误差超过了预设的阈值,我们就认为这个输入数据存在异常行为。在代码中,我们使用平均值加标准差的方法来计算阈值。最后,我们可以使用 `np.where` 函数找到所有的异常数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值