两周前首次亮相的印度高度针对性的移动恶意软件广告系列已被发现是针对多种平台的广泛广告系列的一部分,包括Windows设备,也可能是Android。
在本月早些时候,Talos威胁情报部门的研究人员发现一群印度黑客滥用移动设备管理(MDM)服务劫持并监视印度一些有针对性的iPhone用户。
自2015年8月开始运营以来,已发现攻击者滥用MDM服务将恶意版本的合法应用程序(包括Telegram,WhatsApp和PrayTime)远程安装到目标iPhone上。
这些经过修改的应用程序旨在暗中监视iOS用户,并从第三方聊天应用程序窃取他们的实时位置,短信,联系人,照片和私人消息。
在他们正在进行的调查中,Talos研究人员发现了一个新的MDM基础设施和几个恶意二进制文件-旨在针对运行MicrosoftWindows操作系统的受害者-托管在之前广告系列中使用的相同基础架构上。
除此之外,研究人员还发现了一些潜在的相似之处,将此活动与一个名为“Bahamut”的老黑客组织联系在一起,该组织是一名先前的威胁演员,之前使用与最新iOS恶意软件活动中使用的类似MDM技术的Android设备。
新确定的MDM基础设施于2018年1月创建,今年1月至3月使用,针对两个印度设备和一个位于卡塔尔的英国电话号码。
除了分发具有恶意功能的修改过的Telegram和WhatsApp应用程序外,新发现的服务器还分发修改后的Safari浏览器版本和IMO视频聊天应用程序,以窃取受害者的更多个人信息。
攻击者使用恶意Safari浏览器窃取登录凭据
根据研究人员的说法,恶意Safari浏览器已预先配置为自动泄露用户的用户名和密码,用于各种其他Web服务,Yahoo,Rediff,Amazon,Google,Reddit,Baidu,ProtonMail,Zoho,Tutanota和更多。
? 恶意浏览器包含三个恶意插件-添加书签,添加到收藏夹和添加到阅读列表-就像其他应用程序一样,将被盗数据发送到远程攻击者控制的服务器。
目前还不清楚是谁支持该活动,谁是该活动的目标,以及攻击背后的动机是什么,但技术要素表明攻击者是在印度运营,并且资金充足。
研究人员表示,那些感染此类恶意软件的人需要注册他们的设备,这意味着“他们应该随时注意以避免意外登记”。(欢迎转载分享)