HackerNews 编译,转载请注明出处:
据观察,一场传播 XLoader 恶意软件的恶意活动利用了与 Eclipse 基金会相关的合法应用程序,采用了 DLL 侧载技术。
“此次攻击中使用的合法应用程序 jarsigner,是在安装 Eclipse 基金会分发的 IDE 软件包过程中创建的文件,它是一种用于签署 JAR(Java 归档)文件的工具。” AhnLab 安全情报中心(ASEC)表示。
这家韩国网络安全公司指出,该恶意软件以压缩的 ZIP 压缩包形式传播,其中包含合法的可执行文件以及用于侧载以启动恶意软件的 DLL 文件:
- Documents2012.exe:合法的 jarsigner.exe 二进制文件的重命名版本jli.dll:由威胁行为者修改的 DLL 文件,用于解密并注入 concrt140e.dllconcrt140e.dll:XLoader 载荷
当运行 “Documents2012.exe” 时,攻击链进入恶意阶段,触发修改后的 “jli.dll” 库的执行,从而加载 XLoader 恶意软件。
“分发的 concrt140e.dll 文件是一个加密的载荷,在攻击过程中解密,并注入到合法文件 aspnet_wp.exe 中执行,” ASEC 说道。
“注入的恶意软件 XLoader 窃取用户的 PC 和浏览器信息等敏感信息,并执行下载其他恶意软件等各种活动。”
作为 Formbook 恶意软件的后续版本,XLoader 于 2020 年首次在野外被发现。它以恶意软件即服务(MaaS)模式出售给其他犯罪分子。2023 年 8 月,一种伪装成 Microsoft Office 的 macOS 版信息窃取程序和键盘记录器被发现。
Zscaler ThreatLabz 在本月发布的两部分报告中表示:“XLoader 6 和 7 版本增加了额外的混淆和加密层,旨在保护关键代码和信息,以规避基于签名的检测并增加逆向工程的难度。”
进一步分析显示,XLoader 采用了之前在 SmokeLoader 中观察到的技术,包括在运行时加密部分代码和规避 NTDLL 钩子。
对恶意软件的进一步分析还发现,它使用了硬编码的诱饵列表,将真实的命令与控制(C2)网络通信与合法网站的流量混合在一起。诱饵和真实的 C2 服务器都使用不同的密钥和算法进行了加密。
就像 Pushdo 等恶意软件家族一样,使用诱饵的目的是生成到合法域名的网络流量,以掩盖真实的 C2 流量。
DLL 侧载还被 SmartApeSG(又名 ZPHP 或 HANEYMANEY)威胁行为者滥用,通过被 JavaScript 网页注入破坏的合法网站传递 NetSupport RAT,远程访问木马作为传递 StealC 窃取器的通道。
随着 Zscaler 详细介绍了另外两个名为 NodeLoader 和 RiseLoader 的恶意软件加载器,它们被用于传播各种信息窃取程序、加密货币矿机和僵尸网络恶意软件,如 Vidar、Lumma、Phemedrone、XMRig 和 Socks5Systemz。
“RiseLoader 和 RisePro 在其网络通信协议的多个方面存在相似之处,包括消息结构、初始化过程和载荷结构,” 它指出,“这些重叠可能表明两个恶意软件家族背后是同一个威胁行为者。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
