研究人員發現了一個1.2TB的被盜數據數據庫，該數據庫是由一個未知的自定義惡意軟件在兩年內從320萬臺基于Windows的計算機上盜取的。被盜信息包括660萬個文件和2600萬個憑據，以及20億個網絡登錄cookie——其中4億個cookie在數據庫被發現時仍然有效。

據NordLocker的研究人員稱，此事件的罪魁禍首是一種隱蔽的、不為人知的惡意軟件，它在2018年至2020年間通過木馬化的Adobe Photoshop、盜版游戲和Windows破解工具進行傳播。他們補充說，運營商不太可能有任何深度的技能來完成他們的數據收集活動。

“事實是，任何人都可以接觸到自定義惡意軟件,它便宜、可定制，并且可以在整個網絡上找到，”該公司在周三的帖子中說。“這些病毒的暗網廣告揭示了這個市場的更多真相。例如，任何人都可以以低至100美元的價格獲得自己的定制惡意軟件，甚至可以獲得如何使用被盜數據的課程。而且事實上這些惡意軟件的確是定制的——廣告商承諾他們可以構建一種病毒來攻擊買家需要的幾乎任何應用程序。”

NordLocker發現，這2600萬個登錄憑據包含110萬個唯一電子郵件地址，用于一系列不同的應用程序和服務。其中包括社交媒體、在線市場、求職網站、游戲網站、金融服務、電子郵件等的登錄。

據NordLocker稱，一個黑客組織意外泄露了數據庫位置。托管數據的云提供商收到通知，這樣數據庫就會關閉，并且Troy Hunt已將受感染的電子郵件地址添加到他的HaveIBeenPwned存儲庫中，以便人們可以檢查他們是否受到惡意軟件的影響。

“此事件已被標記為‘敏感’，因此無法公開搜索，”亨特解釋說。“對于個人而言，通過通知服務驗證您的電子郵件地址將顯示它是否在此數據集中。對于組織而言，域搜索功能將使得組織在所有可以驗證控制權的域的范圍內進行搜索。”

數以百萬計的被盜文件

在文件方面，NordLocker發現惡意軟件從桌面和下載文件夾中提取了600萬個文件。戰利品包括300萬個文本文件、100多萬個圖像文件和60多萬個Word和.PDF文件，以及隨機的其他文件類型。

根據分析，“超過50%的被盜文件是文本文件”。“這個集合中的很多內容很可能包含軟件日志。同樣令人擔憂的是，有些人甚至使用記事本來保存他們的密碼、個人筆記和其他敏感信息。”

該惡意軟件還竊取了696,000個.PNG和224,000個.JPG圖像文件;并且，它在感染計算機后制作了屏幕截圖，并使用設備的網絡攝像頭拍攝了一張照片。

竊取Cookie

被盜的cookie中大約有22%在被發現的當天仍然有效，這可能使騙子能夠進行一系列邪惡活動。

NordLocker表示：“Cookie可幫助黑客準確了解目標的習慣和興趣。”“在某些情況下，cookies甚至可以訪問個人的在線帳戶......[例如]，在線購物cookie用于在用戶瀏覽商店時存儲購物車數據。但是，它們可用于劫持購物者的會話，闖入可能存儲其家庭住址和信用卡詳細信息的帳戶。”

該公司發現了電子商務網站、游戲網站、文件共享、視頻流和社交媒體以及其他互聯網目的地的cookie，以及用于跟蹤用戶和提供有針對性的廣告的cookie。

不幸的是，網絡攻擊者似乎也很好地利用了惡意軟件來攻擊特定的應用程序。該數據庫包含從48個應用程序中竊取的一系列憑據、自動填充數據和支付信息數組。

“研究表明，惡意軟件針對的應用程序主要是網絡瀏覽器，以竊取了大多數的數據，”分析稱。“該惡意軟件還從短信應用程序、電子郵件客戶端、文件共享客戶端和一些游戲客戶端中竊取數據。”

排名前10的目標應用如下：

1. 谷歌瀏覽器(1940萬條)

2. Mozilla FireFox(330萬條)

3. Opera(200萬條)

4. Internet Explorer/Microsoft Edge(130萬條)

5. Chromium(100萬條)

6. CocCoc(451,962條)

7. Outlook(111,732條)

8. Yandex瀏覽器(79,530條)

9. Torch(57,427條)

10. Thunderbird(42,057條)

如何防范自定義惡意軟件

不幸的是，一旦設備被感染，自定義惡意軟件就很難對付，NordLocker研究人員說，因為作為一種新型威脅，殺毒軟件無法識別它。所以，預防是最好的辦法。

他們建議采取以下做法以預防自定義惡意軟件：

• Web瀏覽器不擅長保護敏感數據，所以請使用密碼管理器來保護您的憑據和自動填充信息。
•  惡意軟件無法訪問加密文件。
•  有些cookie的有效期為90天，有些cookie一整年內都不會過期。因此請養成每月刪除cookie的習慣。
• 點對點網絡經常被用于傳播惡意軟件，建議只從開發者的網站或其他知名來源下載軟件。
•  所有惡意軟件最終都會被識別，所以請確保您的防病毒軟件始終處于更新狀態

本文翻譯自：https://threatpost.com/custom-malware-stolen-data/166753/如若轉載，請注明原文地址。