Zoho als den wichtigsten Weg für Tasten-Rekorder zu senden gestohlenen Daten

Nach Cofense Intelligenz, 40% Tasten-Rekorder schicken Sie gesammelten Informationen an die E-Mail-Adresse verknüpft zoho.com oder zoho.eu-domain.

Zoho ist das Indische Unternehmen mit dem Fokus auf die Entwicklung von software-Produkten, die es ermöglichen, Benutzer zu verwalten, die IT-Infrastruktur der lokalen und regionalen Unternehmen. Dieser Anbieter bietet auch einen kostenlosen Zugriff auf solche tools für die Zusammenarbeit wie E-Mail, chat, Textverarbeitung, elektronische Tabellen, usw..

Als Cofense berichtet, Tasten-Rekorder verwenden die Betreiber von Zoho E-Mail-Adresse erstellen Sie einen kostenlosen account als auch zu empfangen von gestohlenen Daten, die gesendet werden von der malware als ein Brief. Manchmal Hacker stehlen ein Benutzer-Konto für den gleichen Zweck.

Die Vertreter von Threatpost, ein führender analyst bei Cofense Darrell Rendell erwähnt, dass die Forscher es geschafft zu erkennen, die bösartige Aktivitäten auf den Zoho-Plattform durch abfangen der Tasten-Rekorder' SMTP-Verkehr.

Der Experte sagte, die Forscher waren in der Lage zu verfolgen, der malware Zusammenhang zu smtp.zoho.com. Da smtp.zoho.com ermöglicht die Verwendung von STARTTLS (Verschlüsselung des Netzwerk-Verkehrs), die Sie anwenden musste, spezifische überwachung und traffic-Analyse-Techniken. Die gesendeten Daten zu Zoho-Adressen können auch erkannt werden durch das Parsen der malware memory content an. Die eine oder andere Weise-Spezialisten sicher, dass die Briefe enthalten die gleichen Informationen wie Tastatureingaben, base64-verschlüsselte screenshots, gestohlene Passwörter, die browser-history.

Rendell erklärt, dass Zoho web-services sind für Cyberkriminelle attraktiv für zwei Hauptgründe: die freie Benutzung und eine große Anzahl von Benutzern. Sie arbeiten nach dem Prinzip "software as a service" (SaaS) und wenn eine Organisation zum senden von Dateien in die cloud, wird es sehr attraktiv für Angreifer, da die Anzahl und Vielfalt der end-Benutzer. Wenn die Plattform, zum Beispiel, hat mehr als 30 Millionen Nutzer, dann hacken weniger als 1% der Konten ist völlig ausreichend für einen Angreifer das erstellen der notwendigen C&C-Verkehr.

Das problem in diesem Fall ist unzuverlässig Schutz, einschließlich Multifaktor-Authentifizierung und die schwache Kontrolle der Konto-Erstellung. Die Gesprächspartner von Threatpost betonte auch, dass ein einfaches Skript wird Ihnen helfen, vollständig zu automatisieren den Prozess der Konten-Erstellung.

Nach Cofense Untersuchung, die Zahl von Menschen, die mit Keyloggern ist deutlich erhöht. Hawkeye und Agent Tesla gehören zu den am häufigsten verwendeten, die Angriffe solcher Art wurden entdeckt in diesem Frühjahr, und richtet sich an Reedereien.

Nach Ansicht von Experten, Vertreter von Tesla und Hawkeye Tasten-Rekorder haben zusätzliche Funktionen, um Daten zu stehlen. Randall betonte auch, dass die Vielzahl von schädlichen Funktionen ermöglicht es, diese Familien zu stehlen Daten sowohl in Echtzeit-Modus und die Rückdatierung von USB-Sticks, Geldbörsen, caches, Konfigurationsdateien, etc. So, die Daten sind gestohlen, serialisiert und vorbereitet, was dann? Dann werden alle Informationen gesendet, um das Bedienfeld oder die kompromittierten E-Mail-Konto. Die überwiegende Mehrheit der Tasten-Rekorder verwenden Sie die zweite Variante.