網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一種新的有針對性的垃圾郵件操作，部署了竊取密碼的惡意軟件。

Sophos X-Ops發(fā)現(xiàn)了該活動，并在發(fā)布的一份報告中進行了描述。

根據(jù)該報告，攻擊者采用了社會工程策略，在發(fā)送惡意鏈接之前，利用電子郵件投訴服務(wù)問題或請求信息來與目標(biāo)建立信任。

這種方法反映了此前被發(fā)現(xiàn)的一項活動，該活動是在2023年4月美國聯(lián)邦納稅申報截止日期之前進行的。

Sophos的研究人員安德魯·勃蘭特和肖恩·加拉格爾解釋說：“攻擊者的社會工程策略涉及范圍很廣，從投訴客人入住期間發(fā)生的暴力事件或盜竊，到要求提供有特殊需求的客人的住宿信息?！?/b>

一旦酒店回復(fù)了最初的詢問，威脅參與者就會發(fā)送后續(xù)消息，其中包含所謂的文檔或證據(jù)，其中包含隱藏在密碼保護存檔文件中的惡意軟件有效載荷。

攻擊者使用123456這樣的密碼，共享了來自公共云存儲服務(wù)(如Google Drive)的文件，使受害者能夠打開檔案。

值得注意的是，惡意軟件的有效載荷被設(shè)計為逃避檢測。它們是大小超過600 MB的大文件，大部分內(nèi)容都是空格填充零。

此外，惡意軟件使用代碼驗證證書簽名，其中一些是在活動期間獲得的新證書，而另一些則是假的。

該惡意軟件被識別為Redline Stealer或Vidar Stealer變種，連接到電報頻道，用于指揮和控制目的。它會泄漏數(shù)據(jù)，包括桌面屏幕截圖和瀏覽器信息，而不會在主機上建立持久性。

Sophos X-Ops表示，他們已經(jīng)從與此活動相關(guān)的云存儲中檢索了50多個獨特的樣本，并且已經(jīng)在他們的GitHub存儲庫中發(fā)布了折衷指標(biāo)。

報告中寫道：“我們還報告了各種托管惡意軟件的云存儲提供商的惡意鏈接。大多數(shù)樣本在Virustotal中幾乎沒有檢測到病毒?！?/p>