“魔盗”窃密木马(FakeCDR)研究

最新推荐文章于 2023-12-07 10:18:15 发布
最新推荐文章于 2023-12-07 10:18:15 发布
阅读量1.8k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: 【一】病毒木马·防护处置·蓝队 文章标签: 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37865996/article/details/126925315
本文详细分析了“魔盗”(FakeCDR)窃密木马的传播途径、执行过程及窃密手段。攻击者利用伪装的实用软件下载页面诱导用户下载并执行恶意程序,通过创建服务和注册表启动项实现持久化驻留,窃取用户软件列表、浏览器历史、邮件账户等敏感信息。建议用户加强安全意识,通过官方渠道下载软件,避免打开未知链接,定期全盘杀毒,以防范此类攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、概述

近期,客户被通报存在FakeCDR恶意事件,该病毒家族在互联网上知之甚少,在此进行说明。2022年8月初,CNCER监测到一批伪装成CorelDraw、Notepad++、IDA Pro、WinHex等多款实用软件进行传播的窃密木马。通过跟踪监测发现其每日上线境内肉鸡数(以IP数计算)最多已超过1.3万.

攻击者利用“cdr[.]jyxwlkj.cn”及“cdrnb[.]jyxwlkj.cn”域名建立多个软件下载页面,用于投放伪装成实用软件的“魔盗”窃密木马。窃密木马运行后会收集受害者主机中已安装的软件列表与多款浏览器的历史记录、书签数据和邮件客户端邮箱账户信息,并加密回传至攻击者服务器。由于部分恶意程序具备在线升级能力,因此攻击者可随时更改攻击载荷(如勒索、挖矿、窃密等不同目的的攻击载荷),给受害者造成更大损失。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
H-WORM家族远控木马分析与处置
不忘初心,护天下安全!
08-15 3140
首先通过读取注册表项+脚本名,判断当前系统是否已感染,接着将目标文件放入注册表项"HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\""HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\"中实现自启动。H-WORM作者ID为Houdini,使用VBS编写以实现远控蠕虫功能,能够通过感染U盘传播,出现的时间最早可以追溯到2013年7月。...
远程控制-Farfli远控木马
热门推荐
傲月大人的博客
07-23 1万+
威胁描述: Farfli是一种运行于Windows系统的木马程序。该恶意代码通过创建服务方式自启。受此恶意代码感染的计算机可以被用作DDoS攻击 Farfli家族木马的最新出现时间约在2007-2008年间,并且作者将源代码通过某种途径开源于互联网,导致各黑产组织在源代码的基础上衍生出诸多变种,以致Farfli家族木马达到了“泛滥成灾”的态势。据统计,一般家族的RAT木马年新增量在4000个左右,通过安天病毒库查询Farfli家族样本,2017全年其木马新增量达到了12,538个,远高于普通RAT木马
(2.2)【窃密木马-广外幽灵】简介、使用
07-10 853
窃密木马-广外幽灵】
(2.2)【窃密木马-电脑幽灵】简介、使用
07-11 676
窃密木马-电脑幽灵】
ObserverStealer 窃密木马分析及拓线
最新发布
weixin_54960362的博客
12-07 218
自今年5月起,我们在多个黑客论坛中发现了一款名为ObserverStealer的窃密木马正在被售卖。这款木马具有强大的恶意功能,它能够窃取用户的浏览器数据,上传指定目录的文件,获取屏幕截图,甚至下载和运行其他恶意载荷。在我们的监控过程中,也观察到了此类事件的发生。因此,今天我们将从这个角度出发,通过各种渠道进行IOC收集,同时利用FOFA和any.run这两款工具,对该组织进行深度的资产拓线分析。
流行窃密木马盘点
wangluoanquan111的博客
07-31 766
窃密木马是用于窃取用户系统中敏感数据的恶意执行体。攻击者常通过网络钓鱼、漏洞利用、软件捆绑等方式投放窃密木马,并利用窃取到的重要数据进行牟利。当用户系统感染窃密木马后,根据攻击者的预先设定,窃密木马会在受感染系统中实施隐藏、驻留、探测、搜集、传输、监听等行为,从而将敏感数据按照攻击者的需求进行传输,最终给用户造成收入损失、声誉损害等严重后果。目前,窃密木马攻击者已构建了完整的窃密产业链,包含开发、分析对抗、销售、攻击等多个环节,形成了明确的内部分工体系和获利模式。
惊天团 火爆电影 新标签页 高清壁纸 主题-crx插件
04-01
每次打开新标签时都会获得《惊天团》不同的高清壁纸。这个新主题除此以外还包括天气,时间,记事本,时钟等其他你想要的强大功能。 影片讲述了一群高智商的窃贼,运用最尖端的技术,利用华丽的舞台作为掩护,于...
《惊天团》主题-crx插件:新标签页高清壁纸与功能集锦
资源摘要信息:"惊天团 火爆电影 新标签页 高清壁纸 主题-crx插件" 知识一:CRX插件格式 CRX是Google Chrome浏览器的扩展程序(Extension)的文件格式。它是一种压缩文件,包含了扩展程序的所有文件,包括HTML、...
移动视频数据报告
08-06
- **惊天团**、**我是裸模**、**肉体性追缉**等影片也表现突出,显示用户对于不同类型的电影都有一定的需求。 ##### 2. 电视剧收视排行 - **璀璨人生**在各个设备的排行榜中均位列第一,显示出该剧深受移动端...
BCTF之窃密木马解题思路
研之庭
03-11 3229
BCTF窃密木马题目思考,这题感觉更像是漏洞挖掘然后EXP和大家分享
Neurevt 木马窃密程序相结合,针对墨西哥企业
VN520的博客
08-03 231
近日,思科发现攻击者正在将 Neurevt 木马窃密程序相结合,针对墨西哥的公司发起攻击。
窃密木马Formbook危害巨大,360安全大脑极智守护御敌于国门之外
weixin_42880419的博客
06-03 532
近日,360高级威胁研究分析中心,检测到一批疑似针对外贸等相关企业人员的钓鱼攻击活动。经分析,始作俑者是一种叫Formbook的窃密木马,自 2016 年初以来就开始在各种黑客论坛上开始出现销售。通过伪装成一艘名为UNIVERSE PROSPERITY的散货邮轮的信息邮件,该病毒于近期大肆进行邮件钓鱼传播。截止目前,已有上百个国内外企业或个人受到此次攻击影响,其中不乏一些国内大型物流公司。 通过分析相关日志后发现,钓鱼邮件中所携带的恶意压缩包名称大多为:MV UNIVERSE PROSPERITY.arj
安全响应中心 — 垃圾邮件事件报告(4.18)
Scgute88的博客
04-20 662
在日常工作中,对大量样本进行分析并提取规则,实现对包含垃圾内容、钓鱼内容的邮件进行检测和隔离,从而抵御对业务电子邮件的入侵,防止钓鱼邮件等隐蔽邮件威胁。近日我团队陆续收到来自不同客户通过邮箱反馈而来的钓鱼邮件样本,该类邮件是通知客户下载/查看电子发票的通知性系统邮件,文本上的特征无异常。为了让更多人及时了解钓鱼和垃圾邮件的危害,从本周开始,我们会定期发布分析报告,选取近期一些具有代表性的垃圾邮件进行分析,展示处理方案,通过这个过程帮助客户了解垃圾邮件等最新动态及可能需要关注的防护要点。
挖掘“煤矿“的生活
A_991128a的博客
08-28 1361
挖矿的英语为Mining,早期主要与比特币相关。用户使用个人计算机下载软件,然后运行特定算法,与远方服务器通信后可得到相应比特币。挖矿就是利用比特币挖矿机赚取比特币。挖矿木马是利用各种方法入侵计算机,利用被入侵计算机的算法挖掘加密数字货币以牟取利益的木马。对于大部分互联网用户来说,挖矿木马更像是隐藏在互联网角落中的“寄生虫”,人们对其知之甚少。
远程木马事件
angelliusa的博客
02-08 865
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

东方隐侠安全团队-千里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值