WeLiveSecurity：2021年威胁报告（英文版）（47页）.pdf

1、针对政府邮箱和电子商务交易，以及协助恶意软件分发，这种不同级别的威胁通过窃听和篡改ls服务器通信进行操作。IlS是微软的windows web服务器软件，它具有可扩展的模块化架构，自v7.0以来，支持两种类型的扩展本地c+ DLL)和托管。net汇编模块。专注于maliciqus原生llS模块，ESET研究人员在B0上发现了在野外使用的独特样本，并将它们归类为14个恶意软件家族其中10个以前没有记录。ESET安全解决方案将这些家族检测为Win32,64/ badlland Win32,64Spy.IlSniff。ls恶意软件是一种用于网络犯罪、网络间谍和SEOfraud的威胁。在所有这些情况下

2、，它的主要目的是拦截传入的httprequest到通用的lls服务器，并影响服务器如何响应(其中一些请求)。在默认安装下，llS本身是持久的，所以不需要基于扩展的llS恶意软件来实现额外的持久机制。一旦配置为llS扩展，malicibus lISmodule将被llS工作进程(w3wp .exe)加载，本机llS模块可以不受限制地访问服务器工作进程可用的任何资源因此，安装本机llS恶意软件需要管理权限。这大大缩小了初始攻击向量的选择范围。ESET的研究人员已经看到了两种情况的证据。ESET研究人员一直在监控移动跟踪软件应用程序，发现它们充满了漏洞，不仅暴露了受害者的隐私，也暴露了跟踪者自己的隐

3、私。在过去的几年中，使用跟踪者软件(stalkerware)的人越来越多。跟踪者通常与受害者关系密切，他们会偷偷地在受害者的设备上安装这种监控软件。我们手工分析了来自86个不同供应商的一款安卓跟踪软件。我们发现的最普遍的问题是用户个人身份信息的不安全传输、敏感信息在外部媒体上的存储、敏感用户信息暴露给未经授权的用户、服务器泄漏跟踪者客户端信息，和未经授权的数据传输从设备到服务器。这些都可能对受害者甚至跟踪者造成严重影响，因为由于他们的亲密关系，跟踪者的私人信息很容易和受害者一起暴露我们还发现，一些跟踪者软件将收集到的数据保存在其服务器上，甚至在跟踪者要求删除数据之后在对拉丁美洲银行业木马家族进

4、行系列深入研究的同时，ESET的研究人员还对Ousaban进行了研究。Ousaban至少从2018年就开始活跃了。选择这个名字是因为这个恶意软件曾经臭名昭著地使用淫秽图片作为其传播矢量的一部分。该银行木马的backdaar功能，如模拟鼠标和键盘操作，以及记录击键，与其他LATAM银行木马类似。与大多数恶意软件家族一样，它是用Delphi编写的，并使用专门针对其目标(主要是金融机构)设计的覆盖窗口。有趣的是。Ousaban的目标包括几个电子邮件服务，它也为这些服务准备了覆盖窗。Ousaban主要通过网络钓鱼邮件发送，其运营商通过多个分销链循环。为了在系统上实现持久化，Ousaban在startup文件夹中创建aLNK文件或简单的vBS loaderver，或者修改windows5注册表Run键。