IOC专题：新EditBot在行动；窃取浏览器密码和Cookie

研究人员发现了一个新的恶意活动Editbot Stealer，在该活动中，威胁参与者使用WinRAR存档文件进行多阶段攻击，检测次数很少。威胁行为者一直在利用“缺陷产品被退回”的主题来引诱用户进入他们的欺骗性网站。

然而，威胁参与者使用的恶意WinRAR档案由一个.bat文件和一个JSON文件组成，用于初始阶段的攻击，然后是一些用于后续阶段的Powershell命令。这些恶意文件的分发是通过社交媒体进行的。

Editbot Stealer在行动

初始访问和持久性

根据与网络安全新闻分享的报道，在攻击的初始阶段使用的BAT文件名为“Screenshot Product Photo Sample.BAT”，其中包含用于下载和执行额外有效载荷的多个Powershell命令。

包含BAT和JSON文件的RAR文件（来源：Cyble）

BAT文件中的第一个PowerShell命令从Gitlab下载另一个BAT文件，并将其以“WindowsSecure.BAT”的名称保存在启动文件夹中以供永久执行。该BAT文件用于定期执行Python窃取程序，该程序将在稍后的攻击阶段下载。

第二个PowerShell命令从同一个GitLab存储库中检索一个名为“Document.ZIP”的ZIP文件，并将其保存在C:\Users\Public目录中。第三个powershell命令将这个ZIP文件提取到C:\Users\Public\Documents目录中，该目录包含python窃取程序“libb1.py”。

Python Steiner的工作-Editbot

Python窃取程序由复杂的编程代码组成，可执行多种功能，包括提取受害者的国家代码、IP地址和时间戳，以及与多个浏览器相关的凭据窃取活动。

此窃取程序从浏览器配置文件文件夹中提取多条信息，如cookie、登录数据、web数据和本地状态，并将它们存储在%temp%文件夹中。所有被盗信息都存储在一个名为“pass.txt”的文本文件中。

从受害者那里收集所有信息后，窃取者会创建所有提取信息的ZIP存档，并将它们存储在同一%temp%目录中。为了泄露这些信息，威胁行为者建立了电报机器人。

此外，还发布了一份关于Editbot窃取者的完整报告，其中提供了有关源代码、提取方法和其他信息的详细信息。

失陷指标（IOC）

原文链接：https://cybersecuritynews.com/new-editbot-stealer/