在电子邮件作为主要恶意软件感染媒介的今天,网络钓鱼已经成为大多数恶意软件传播的首选途径。但是研究人员发现,非法攻击者正在不断寻找新的传播路径和感染手段,来增强恶意软件的攻击能力。为了更好地识别和预防恶意软件攻击,本文收集了近期新发现的三种恶意软件,并对其感染方式和传播路径进行简单介绍。
Black Basta:一种新的传播方法
Black Basta是一种用C++编写的新型勒索软件变体,首次发现于2022年2月,支持命令行参数“-forcepath”,该参数只用于加密指定目录下的文件。否则,整个系统(除某些关键目录外)将被加密。
2022年4月,Black Basta勒索软件趋于成熟,新增了在加密之前以安全模式启动系统、出于持久性原因模仿Windows服务等功能。
2022年6月初,Black Basta团伙与QBot恶意软件攻击团伙达成合作,加大力度传播他们的勒索软件。Qbot团伙出现在2008年,是一个基于Windows的信息窃取木马,能够记录键盘、窃取cookies,以及提取网上银行的相关细节和其他证书等。Qbot通过功能迭代不断进化,逐渐演变为高复杂的恶意软件,具有巧妙的检测规避、上下文感知交付策略,以及包括电子邮件劫持在内的网络钓鱼功能等。
近期,Black Basta有了进一步演变提升,发展出第二个可选的命令行参数:“-bomb”。当使用该参数时,恶意软件会执行以下操作:
显示LDAP功能的代码片段
使用内置传播方法有两个危害:
CLoader:通过恶意种子感染
网络犯罪分子之前很少使用恶意种子(malicious torrent)来感染他们的目标。然而 CLoader传播方式显示,这也是一种不容忽视的感染方法。
CLoader首次发现于2022年4月,使用已破解的游戏和软件作为诱饵,诱骗用户下载安装脚本中含有恶意代码的NSIS安装程序。
恶意脚本:红色部分为恶意软件下载代码
CLoader总计共有以下6种不同的有效负载:
研究发现,世界各地目前都有用户受到了该恶意软件的感染,主要受害人群分布在美国、巴西和印度等地。
AdvancedIPSpyware:用恶意签名篡改合法应用
我们经常遇到在合法软件中添加恶意代码以隐藏非法活动并欺骗用户的技术,但不常遇到的是被恶意签名的后门二进制文件,AdvancedIPSpyware 就是这种情况。它是网络管理员用来控制LAN的合法Advanced IP Scanner工具的篡改版本,用于签署恶意软件的证书很可能被盗。
该恶意软件托管在两个站点上,其网站域名与合法的Advanced IP Scanner网站几乎相同,仅URL中的一个字符不同。此外,这些网站与正规网站唯一的区别只有恶意网站上的“免费下载”按钮。
合法(左)与恶意签名篡改后(右)的二进制文件
AdvancedIPSpyware的另一个不常见的特性是它的模块化架构。我们观察到以下三个通过IPC相互通信的模块:
防御恶意软件攻击的建议
要防范以上恶意软件入侵的新方式,首先需要用户加强计算机使用安全防范意识,利用掌握的计算机知识尽可能多地排除系统安全隐患,最大程度将恶意软件挡在系统之外。通常我们可以通过以下几个方面采取措施,防范恶意软件的入侵:
01
加强系统安全设置
02
加强网络安全意识培养
原文链接: