Zhong stealer
A Zhong Stealer egy friss adatlopó kártevő, amelyet 2024 decemberében azonosítottak egy adathalász kampány során, amely a kriptovaluta és fintech szektort célozta meg. A támadók ügyfélszolgálati platformokat, például a Zendesk-et használták ki, ahol hamis ügyfeleknek adták ki magukat, hogy rávegyék a támogatási munkatársakat a rosszindulatú szoftver letöltésére.
Az Any.Run kutatóinak vizsgálata szerint a támadók új támogatási jegyeket nyitottak frissen létrehozott, üres fiókokból, rossz angol nyelvezetet használva kínaiul kértek segítséget, és ZIP fájlokat csatoltak, amelyek állítólag képernyőképeket vagy további részleteket tartalmaztak. Ezek a ZIP fájlok valójában végrehajtható EXE fájlokat rejtettek, amelyek a kártevőt hordozták.
A Zhong Stealer végrehajtásakor kapcsolatba lép egy Hongkongban található, Alibaba Cloud által hosztolt parancs- és vezérlőszerverrel (C2). Első lépésként egy szöveges fájlt olvas be, amely tartalmazza a letöltendő további komponensek listáját. Ezután letölt egy down.exe nevű fájlt, amelyet egy korábban érvényes, de most visszavont tanúsítvánnyal írtak alá, és BitDefender biztonsági frissítőnek álcázzák. A kártevő további fájlokat is letölt, például TASLogin.log és TASLoginBase.dll, amelyek segítik a következő szakasz végrehajtását.
A down.exe futtatása után a kártevő létrehoz egy véletlenszerű nevű BAT fájlt a felhasználó ideiglenes mappájában, amely előkészíti a környezetet a következő lépésekhez. Ezután lekérdezi a rendszer támogatott nyelveit, valószínűleg azért, hogy elkerülje bizonyos régiók célzását. A kártevő ütemezett feladatot hoz létre az automatikus futtatáshoz, valamint módosítja a rendszerleíró adatbázist a kitartás érdekében. Ezenkívül letiltja az eseménynaplózást, hogy megnehezítse a biztonsági eszközök számára a rosszindulatú tevékenységek észlelését, és különböző adatokat gyűjt a fertőzött rendszerről, beleértve a hitelesítő adatokat és a böngészési információkat.
A Zhong Stealer esete jól példázza, hogyan használhatják ki a támadók a pszichológiai megtévesztési módszereket és az ügyfélszolgálati csatornákat a rosszindulatú szoftverek terjesztésére.
