电脑杀毒拦截：伪装成杀毒软件的键盘记录器Fauxpersky正通过USB驱动器传播

电脑杀毒拦截：伪装成杀毒软件的键盘记录器Fauxpersky正通过USB驱动器传播Cybereason在文章中并没有指出具体有多少台计算机已经遭到了感染，但鉴于Fauxpersky智能通过共享USB驱动器的过时方法传播，因此它可能并不会广泛传播。Log.txt 文件记录的所有数据最终会通过Google表单提交到攻击者的收件箱。这是一种简单但却有效的方法，这意味着攻击者并不需要部署任何命令和控制（C&C）服务器。另外，通过Google表单传输的数据原本上就已经被进行了加密处理，这使得Fauxpersky的数据上传在各种流量监控解决方案中看起来并不会可疑。另外两个文件，一个是被命名为“Logo.png”的图片文件（用于伪造卡巴斯基杀毒软件启动画面），另一个是被命名为“Readme.txt”的文本文件。四个可执行文件则是Fauxpersky的核心组件，它们分别承载了不同的功能：Explorers.exe用于完成USB驱动器传播；Svhost.exe用于完成键盘记录，将

网络安全公司Cybereason在本周三发文称，他们已经发现了一种新型的键盘记录恶意软件。尽管从技术层面来讲，该恶意软件还远远谈不上“先进”，但它在窃取密码方面表现出了很高的效率。

Cybereason将这个恶意软件命名为“Fauxpersky”，因为它在传播过程中伪装成了世界知名的俄罗斯杀毒软件——卡巴斯基（Kaspersky）。

根据Cybereason研究人员的说法，Fauxpersky建立在受欢迎的应用程序AutoHotKey（AHK）之上。该应用程序允许用户在Windows上编写各种图形用户界面（GUI）和键盘自动执行任务的小脚本，并能够将这些脚本编译为可执行文件。

对于Fauxpersky的开发者来说，该应用程序则被用来了构建键盘记录器。该键盘记录器通过USB驱动器传播以感染Windows计算机，并能够在任何可移动驱动器（如U盘）连接到受感染计算机时完成自我复制。

另外两个文件，一个是被命名为“Logo.png”的图片文件（用于伪造卡巴斯基杀毒软件启动画面），另一个是被命名为“Readme.txt”的文本文件。

四个可执行文件则是Fauxpersky的核心组件，它们分别承载了不同的功能：Explorers.exe用于完成USB驱动器传播；Svhost.exe用于完成键盘记录，将键盘记录的数据写入文件（Log.txt）；Taskhosts.exe用于建立持久性机制；Spoolsvc.exe则被用于最终的数据上传。

下图说明了整个攻击流程：

Log.txt 文件记录的所有数据最终会通过Google表单提交到攻击者的收件箱。这是一种简单但却有效的方法，这意味着攻击者并不需要部署任何命令和控制（C&C）服务器。另外，通过Google表单传输的数据原本上就已经被进行了加密处理，这使得Fauxpersky的数据上传在各种流量监控解决方案中看起来并不会可疑。

Cybereason在文章中并没有指出具体有多少台计算机已经遭到了感染，但鉴于Fauxpersky智能通过共享USB驱动器的过时方法传播，因此它可能并不会广泛传播。

本文由 黑客视界 综合网络整理，图片源自网络；转载请注明“转自黑客视界”，并附上链接。