网络安全公司Varonis和Synacktiv观察到,有勒索软件运营者正在利用合法的Kickidler员工监控软件进行侦察、追踪受害者活动,并在入侵其网络后收集凭据。详细报道。
这些攻击始于威胁行为者通过Google广告来引诱用户点击,广告指向一个伪造的RVTools网站,并推广被植入恶意程序的版本。该程序作为恶意软件加载器,下载并运行SMOKEDHAM PowerShell .NET后门,用于在设备上部署Kickidler。
攻击者在网络入侵后,再次展开恶意活动,部署针对受害者VMware ESXi基础设施的有效载荷,导致VMDK虚拟硬盘驱动器被加密,并引发广泛的中断。
Kickidler软件被用于从管理员工作站上捕获击键和网页,使攻击者能够识别并获取必要的密码来访问远程云备份。据Varonis称,这种方式避免了更高风险的内存转储等操作,从而降低了被检测的可能性。