窃取信息恶意软件 TinyNuke 再次攻击法国用户

Hackernews 编译，转载请注明出处：

http://hackernews.cc/wp-content/uploads/2021/12/41639466557_.pic_hd-600x338.jpg

窃取信息的恶意软件TinyNuke在一项针对法国用户的新攻击中重新出现，该攻击向企业和从事制造、技术、建筑和商业服务的个人发送账单陷阱的电子邮件。 此攻击的目标是窃取凭据和其他私人信息，并在受损系统上安装额外的有效负载。

TinyNuke 的重新出现

TinyNuke恶意软件活动最早出现在2017年，在2018年活动最为频繁，然后在2019年大量减少活动，在2020年几乎消失。 在2021再次发现恶意软件部署的新攻击令人惊讶，但并非完全出乎意料。

http://hackernews.cc/wp-content/uploads/2021/12/51639466557_.pic_-600x326.jpg

Proofpoint一直关注这些活动，根据其研究人员的说法，这种重新出现通过两类不同的活动表现出来，分别是C2基础设施有效载荷和陷阱诱惑。 这也可能表明恶意软件由两个不同的攻击者使用，一个与TinyNuke最初的操作者相关，另一个与通常使用商业工具的操作者相关。

最后，TinyNuke与2018年的PyLocky分发或任何其他勒索软件感染没有相似之处。

托管在合法站点上的有效负载

攻击者通过合法的法国网站来托管有效负载URL，而可执行文件则被伪装成无害的软件。

http://hackernews.cc/wp-content/uploads/2021/12/61639466557_.pic_hd-600x480.jpg

对于C2通信，最近的攻击活动使用Tor，这与其中一个字符串“nikoumouk”使用的方法相同， 而“nikoumouk”在这些通信中使用的方法与2018年的分析中发现的俚语相同，我们可以进一步将该攻击活动与最初的攻击者联系起来。

“Proofpoint研究人员发现字符串“nikoumouk”被发送到C2服务器，但目的不明。根据信息共享合作伙伴和开源信息，攻击者在2018年以来的C2通信活动中使用了该字符串，”Proofpoint的报告解释道。

“该字符串在流行阿拉伯语中含侮辱意思，主要用于欧洲讲法语的郊区。”

在当前的攻击活动中，电子邮件包含下载ZIP文件的URL。这些ZIP文件包含一个JavaScript文件，该文件将执行PowerShell命令以下载和执行TinyNuke恶意软件。

http://hackernews.cc/wp-content/uploads/2021/12/71639466558_.pic_hd-600x94.jpg

就功能而言，TinyNuke loader可以通过Firefox、Internet Explorer和Chrome的表单抓取和web注入功能窃取凭据，还可以安装其他有效负载。

通过添加一个新的注册表项来保证持久性，如下所示:

Persistence is secured by adding a new registry key as shown below:

key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\x00E02BC647BACE72A1\xe4\x8d\x82

data: C:\Users\[User]\AppData\Roaming\E02BC647BACE72A1\firefox.exe

Μise en garde

虽然正在进行的攻击活动使用特定的诱饵，攻击者可以更新他们的信息，以呈现新的受害者。此外，如果有新的攻击者使用TinyNuke，这可能意味着原始作者在暗网上出售它，或者它的代码可能在几年前在GitHub上发布后独立流通。不管怎样，它的部署次数可能会增加更多，针对目标部署的电子邮件诱饵的范围可能会变得非常广泛。

http://hackernews.cc/wp-content/uploads/2021/12/81639466558_.pic_-600x560.jpg

因此，保持警惕和避免点击嵌入式按钮是非常重要的，一旦点击嵌入式按钮，将导致网站托管恶意可执行压缩文件。由于这些站点在其他方面是合法的，您的Internet安全解决方案可能不会引起任何警告，因此需要您极端谨慎。

消息来源：BleepingComputer，译者：Zoeppo；

本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文链接