據Beosin EagleEye 平台輿情監測顯示,Maciej Mensfeld 發現服務器異常文件 http://api.circle-cdn.com/setup.py,通過對比代碼,發現與樣某樣本庫中的一份惡意代碼樣本一致 https://dwz.win/azUF。 Beosin 安全團隊深入分析發現攻擊者通過在本機執行以下代碼獲取系統敏感信息:接著利用socket 庫函數gethostname 提取dns 解析,同時獲取當前用戶基本信息並進行數據封裝。然後將組裝好的信息利用curl 命令以文件格式發到api.circle-cdn.com 的服務器上,以隨機數字命名的txt 格式,執行上傳之後並做了清理工作,沒有留下生成的臨時文件。 Beosin 安全團隊總結:此腳本目的是獲取用戶計算機上的敏感配置文件,有些配置文件可能會導致重要的賬戶憑證信息失竊,會帶來較大的風險。
dark