回归最本质的信息安全

威胁预警:新型远程访问木马Kedi可利用Gmail与其C&C通信

2017年9月14日发布

27,345
0
0

导语:近日,安全公司Sophos的研究人员发现,一种新型的远程访问木马(RAT)正通过Gmail与其命令和控制(C&C)服务器进行通信,并能够逃避大多数的安全扫描器检测。

gmail.jpg

近日,安全公司Sophos的研究人员发现,一种新型的远程访问木马(RAT)正通过Gmail与其命令和控制(C&C)服务器进行通信,并能够逃避大多数的安全扫描器检测。

安全研究人员表示,这款被命名为“Kedi”的新型远程访问木马的功能就是窃取数据,并通过网络钓鱼邮件进行传播。据目前观察到的攻击显示,该木马病毒会将恶意的有效负载伪装成Citrix实用程序。

其实,该远程访问木马的功能倒是没有什么超乎寻常的地方:无非是AntiVM /防沙箱功能,能够提取和运行嵌入式辅助有效载荷,文件下载/上传后门,截图抓取,键盘记录以及提取用户名、计算机名称以及域名等。根据Sophos的说法,其中大多数的功能都是通过命令驱动的。

但是,该木马病毒能够脱颖而出成功引起研究人员关注的点在于,它具备使用Gmail(基本HTML版本)与其命令和控制服务器(C2C)进行通信的能力。然而,安全研究人员还发现,该恶意软件还可以使用DNS和HTTPS请求与服务器进行通话。

Sophos的研究显示:

“通过使用Gmail从C&C接收指令,Kedi在导航至收件箱后,可以找到最后一条未读的消息,并从消息正文获取内容,然后解析此内容中的命令。为了将信息发送回C&C,它会使用base64编码消息数据,对接收到的消息进行回复,添加已编码的消息数据并进行发送。”

Sophos警告称,上周我们监测到了传播威胁的钓鱼网络攻击活动,虽然Kedi似乎并没有参与到迄今为止的攻击活动中,但其最终目标可能是为了针对更大规模的受害者。

为了保护自身安全,我们建议用户在点击未知来源的电子邮件中的链接,或打开邮件附件时,应该时刻保持谨慎的态度。此外,还要提醒用户需要始终确保自身的操作系统和应用程序保持更新到最新版本,以及使用和定期更新防病毒应用程序。

本文翻译自:http://www.securityweek.com/new-kedi-rat-uses-gmail-exfiltrate-data,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/news/7652.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

小二郎

小二郎

这个人很懒,什么也没留下

发私信

发表评论