近日,网络安全研究人员发现了一个利用 “Cheana Stealer ”恶意软件的复杂网络钓鱼活动,该恶意软件是通过一个 VPN 钓鱼网站传播的。这次攻击的主要目标是各种操作系统的用户,包括 Windows、Linux 和 macOS。
Cheana Stealer 活动是通过一个虚假的 VPN 提供商的钓鱼网站实施的。该网站模仿 WarpVPN 服务的外观,专门设计用于引诱个人下载不同操作系统的 VPN 应用程序。
攻击者为每个目标操作系统制作了不同的 Cheana 窃取程序二进制文件,展示了他们最大限度地扩大影响范围的努力。
Cheana 窃取程序活动概述
据 Cyble 研究与情报实验室(CRIL)称,Cheana Stealer 恶意软件通过不同的方法针对多个操作系统的用户。在 Windows 系统中,恶意软件通过 PowerShell 脚本发送,该脚本会执行一个名为 install.bat 的批处理文件。
Windows 安装说明(来源:Cyble)
该脚本首先会检查受害者系统中是否存在 Python,如果未找到,则会安装 Python 以及 pip 和 virtualenv 等工具。
然后再安装一个名为 hclockify-win 的恶意 Python 软件包,目的是窃取敏感信息。该软件包以加密货币浏览器扩展和独立钱包为目标,将窃取的数据压缩成 ZIP 文件,发送到攻击者的命令和控制 (C&C) 服务器。此外,它还会从基于 Chromium 的浏览器和火狐浏览器中提取存储的浏览器密码。
在 Linux 系统上,Cheana 窃取程序通过 curl 命令分发,该命令可下载名为 install-linux.sh 的脚本。
Linux 安装说明(来源:Cyble)
该脚本会检索一个用于跟踪的唯一 ID,并收集敏感信息,包括浏览器数据、加密货币钱包详情和 SSH 密钥,然后将这些信息外泄到攻击者的服务器上。
对于 macOS 用户,恶意软件通过名为 install.sh 的脚本分发。
MacOS 安装说明(来源:Cyble)
该脚本通过虚假提示欺骗用户输入凭证,然后收集浏览器登录数据、macOS 密码和钥匙串信息。这些详细信息随后会被发送到 C&C 服务器。
在所有平台上,Cheana Stealer 都是利用系统漏洞和用户信任来窃取敏感信息的,这凸显了采取更好的安全措施的必要性。
Telegram 频道的作用和技术分析
Telegram 配置文件更改(来源:Cyble)
与 “Cheana Stealer ”活动相关的钓鱼网站连接在一个拥有 54000 多名用户的 Telegram 频道账户上。据悉,该频道从 2018 年起就比较活跃,期间运营商经历了数次变更,钓鱼网站于 2021 年被添加到其简介中。在开始传播 Cheana 偷窃器之前,该频道在传播恶意内容和赢得用户信任方面发挥了重要作用。
Telegram 频道最初提供看似免费的 VPN 服务,并利用这一“幌子” 建立了一定的信誉。不过在建立用户群之后,该频道就会立即开始推广钓鱼网站,利用获得的信任传播恶意软件。
Cheana Stealer 活动采用了精心设计的技术策略。钓鱼网站冒充 WarpVPN,为各种操作系统提供详细但具有欺骗性的安装说明。
2021 年的 Warpvpn 网站(来源:Cyble)
