安全研究人員通過惡意軟件分析沙箱公開敏感數據
英國威脅情報公司Cyjax的安全專家研究了提交給我們最喜歡的三個在線惡意軟件分析沙箱的數據,並發現許多可公開訪問的信息包含潛在的敏感文件。
調查進行了三天,其中包括三個沙盒服務,允許用戶上傳文件以確定它們是否是惡意的。
Cyjax的調查主要針對PDF文檔和電子郵件文件(.msg和.eml)。安全專家發現了200多張發票和採購訂單,考慮到公司經常通過電子郵件發送此類文件,這並不奇怪。
在一個實例中,為Windows管理員提供有用的部署工具的企業似乎已將其收到的所有採購訂單上傳到沙箱。
“通過檢查發票,我們能夠確定誰在使用該軟件,以及每個組織負責採購的人員的聯繫方式:對於進行魚叉式網絡釣魚或BEC欺詐活動的威脅行為者來說,這是非常有用的信息, “ Cyjax安全分析師說。
Cyjax還發現了數十份簡歷和專業證書,甚至還有一些有護照複印件的證明。 Cyjax還發現了可公開訪問的數據,其中包含保險證書,其中包含姓名,電話號碼,電子郵件地址和物理地址等私人數據。
一個這樣的文件似乎是美國中央司令部使用軍用飛機的申請表,它有姓名,旅行者聯繫方式和旅程內容。
CENTCOM和上傳所有這些採購訂單的公司已被告知並已啟動調查。
此外,在惡意軟件調查沙箱中也發現了醫療和法律文件。
Cyjax研究人員還在調查期間分析了URL掃描服務,發現許多提交的URL指向託管在Google Drive等熱門服務和文件共享服務WeTransfer上的潛在敏感信息。
“發送給目標收件人的鏈接故意很大,幾乎無法猜測。通過將它們提交給URL掃描服務,它們將被發布給任何人查看和訪問,” Cyjax說。
在一個這樣的例子中,美國的一所高中上傳了一個Google Drive鏈接,該鏈接指向.doc文件,其中包含200多名學生的姓名和地址。不僅如此,它還有恢復和掃描其ID的鏈接。 Cyjax告訴學校,但尚未採取行動。
“在短短三天內收集的敏感文件數量驚人。在一個月內,威脅行為者將有足夠的數據來針對多個行業並竊取多個受害者的身份,”該安全公司解釋說。 “雖然惡意軟件沙箱的採用是一個積極的發展,但公司需要更好地了解他們共享的文件是如何處理的。許多提供商需要付款才能私下提交文件,這意味著使用免費服務的每個人都會默認共享文件, “ Cyjax補充道。