新型Zaraza恶意软件窃取浏览器登录凭证

关键要点

• 新型Zaraza恶意软件正窃取Google Chrome、Microsoft Edge、Opera和Brave等浏览器的登录凭证。
• 威胁行为者使用Telegram服务器作为其指挥和控制（C2）平台。
• 该恶意软件可以破解浏览器加密保护的密码。
• 研究表明，Zaraza恶意软件与俄罗斯有联系。
• Zaraza恶意软件作为64位二进制文件，使用C#编程语言编写。

研究人员警告称，一种新型的正在窃取多个主流浏览器的登录凭证，包括Google Chrome、MicrosoftEdge、Opera和Brave。威胁行为者利用Telegram服务器作为其指挥和控制（C2）平台，以传输从目标计算机中收集的银行登录凭证和加密货币。

根据发布的报告，Telegram不仅被用来进行Zaraza恶意软件的分发和营销，研究人员还认为这一系列攻击的背后与俄罗斯有关，Zaraza在俄语中翻译为“感染”。

目标浏览器 | 是否受影响
—|—
Google Chrome | 是
Microsoft Edge | 是
Opera | 是
Brave | 是
Safari | 否
Firefox | 否

研究指出，约有40款网页浏览器成为Zaraza恶意软件的攻击对象，令人注意的是，Apple的Safari和MozillaFoundation的Firefox并未在其攻击列表中。Uptycs尚未详细说明攻击者用于感染目标计算机的初始路径或技术。

Uptycs表示：“攻击者…利用窃取的数据进行身份盗窃、金融欺诈及未经授权访问个人和商业账户等恶意活动。”

Zaraza恶意软件甚至可以破解目标浏览器用于保护存储密码的加密。“系统上的网页浏览器默认以两种加密格式存储凭证，然而Zaraza机器人能够解密这两种格式，”研究者指出。

Zaraza恶意软件似乎属于一个组织化的，威胁行为者可以从集中式恶意软件分销商处购买访问该机器人的权限。犯罪者偏爱使用，这一趋势正在持续。Uptycs表示，攻击者喜欢Telegram，因为它可以用于分发恶意软件、传输数据并绕过检测。

Zaraza以64位二进制文件的形式分发，使用C#编程语言编写，并在其代码中包含俄语西里尔字符。在对受感染设备进行扫描后，该恶意软件将在Temp目录下创建一个新的子文件夹，并生成一个“output.txt”文件。“在成功提取浏览器中的加密密码后，攻击者将这些数据保存到output.txt文件中，”研究人员指出。

此外，受害者计算机的屏幕截图也会存储在output.txt位置，并共享到Telegram频道。

为帮助安全专业人士清除恶意文件，Uptycs提供了一份YARA规则副本，可用于任何具备YARA规则检测能力的EDR/XDR供应商。一个重要的妥协指示包含一个MD5文件哈希（41D5FDA21CF991734793DF190FF078BA）。