卡巴斯基发现有歹意软件针对钉钉和微信盗取信息 还被保管在米哈游服务器上

网络安全公司卡巴斯基实验室日前发布博客介绍关于后门程序 HZ Rat 的查询报告，该后门程序首要针对阿里巴巴旗下的企业通讯渠道钉钉和腾讯旗下的即时通讯软件微信 (本文说到的均为 PC 版或 Mac 版，不含手机版)。

HZ Rat 后门开始仅针对 Windows 体系，此次卡巴斯基发现的新版本属于 Windows 版 HZ Rat 的移植版，专门针对 macOS 体系，首要目的也是搜集秘要信息。

值得注意的是在病毒扫描渠道 VirusTotal 上，HZ Rat 样本没有被任何安全软件检测到问题 (也包含卡巴斯基)，样本首要是假充闻名的加密地道软件 OpenVPN Connect。

下图也能够看到黑客运用的是中文：

卡巴斯基通过查询后发现 HZ Rat 后门程序具有以下特色：

• 搜集 macOS 体系完整性 (SIP) 维护状况
• 搜集本地 IP 地址
• 搜集有关蓝牙设备的信息
• 搜集可用的 WiFi 网络以及网卡和已衔接的 WiFi 信息
• 搜集硬件标准
• 搜集存储信息
• 请求清单
• 搜集来自微信的用户信息
• 搜集来自钉钉的用户和安排信息
• 搜集谷歌暗码办理器的用户名和网站 (Chrome 内置的暗码办理器)

其间针对微信搜集的信息包含微信用户 ID、邮箱 (如有) 和电话号码，这些信息以纯文本方式存储在 usderinfo.data 文件中；剖析发现该后门程序好像对钉钉更感兴趣，搜集的钉钉信息包含用户地点的企业 / 安排以及部分称号、用户名、公司邮箱地址、电话号码。

值得注意的是在卡巴斯基进行剖析的这段时刻，HZ Rat 并未运用将文件写入到磁盘和将文件发送到服务器两个指令，这表明进犯者当时搜集信息可能是在未来的进犯做准备，所以暂时还不清楚进犯者的详细目的。

最终比较有意思的是 HZ Rat 后门程序被存储在游戏开发商米哈游的服务器中：hxxp://vpn.mihoyo [.] com/uploads/OpenVPNConnect.zip

将文件放到闻名公司的域名里一般能够获得用户信赖或躲避某些安全软件的阻拦战略，但黑客如何将文件放到米哈游服务器便是个迷了，按理说米哈游这种规划的公司应该对服务器的办理十分严厉才对。