偽裝成殺毒軟件的鍵盤記錄器Fauxpersky正通過USB驅動器傳播

網絡安全公司Cybereason在本周三發文稱，他們已經發現了一種新型的鍵盤記錄惡意軟件。盡管從技術層面來講，該惡意軟件還遠遠談不上“先進”，但它在竊取密碼方面表現出了很高的效率。

Cybereason將這個惡意軟件命名為“Fauxpersky”，因為它在傳播過程中偽裝成了世界知名的俄羅斯殺毒軟件——卡巴斯基（Kaspersky）。

根據Cybereason研究人員的說法，Fauxpersky建立在受歡迎的應用程序AutoHotKey（AHK）之上。該應用程序允許用戶在Windows上編寫各種圖形用戶界面（GUI）和鍵盤自動執行任務的小腳本，并能夠將這些腳本編譯為可執行文件。

對于Fauxpersky的開發者來說，該應用程序則被用來了構建鍵盤記錄器。該鍵盤記錄器通過USB驅動器傳播以感染Windows計算機，并能夠在任何可移動驅動器（如U盤）連接到受感染計算機時完成自我復制。

具體來講，在Fauxpersky初次執行后，它會掃描所有連接到該計算機上的可移動驅動器，并對這些驅動器進行重命名，然后將自身文件全部復制過去。

例如，當一個名為“Pendrive”的8GB USB驅動器連接到受感染計算機時，Fauxpersky會將其重命名“Pendrive 8GB（Secured by Kaspersky Internet Security 2017））”，譯作“Pendrive 8GB（由卡巴斯基互聯網安全公司2017保護）”。

研究人員表示，他們在一個名為“Kaspersky Internet Security 2017”的目錄下共發現了6個文件，其中包括了四個可執行文件，而每個可執行文件都有一個類似于Windows系統文件的名稱：Explorers.exe、Spoolsvc.exe、Svhost.exe和Taskhosts.exe。

另外兩個文件，一個是被命名為“Logo.png”的圖片文件（用于偽造卡巴斯基殺毒軟件啟動畫面），另一個是被命名為“Readme.txt”的文本文件。四個可執行文件則是Fauxpersky的核心組件，它們分別承載了不同的功能：Explorers.exe用于完成USB驅動器傳播；Svhost.exe用于完成鍵盤記錄，將鍵盤記錄的數據寫入文件（Log.txt）；Taskhosts.exe用于建立持久性機制；Spoolsvc.exe則被用于最終的數據上傳。

Log.txt 文件記錄的所有數據最終會通過Google表單提交到攻擊者的收件箱。這是一種簡單但卻有效的方法，這意味著攻擊者并不需要部署任何命令和控制（C&C）服務器。另外，通過Google表單傳輸的數據原本上就已經被進行了加密處理，這使得Fauxpersky的數據上傳在各種流量監控解決方案中看起來并不會可疑。

Cybereason在文章中并沒有指出具體有多少臺計算機已經遭到了感染，但鑒于Fauxpersky智能通過共享USB驅動器的過時方法傳播，因此它可能并不會廣泛傳播。

來源：黑客視界