HackerNews 编译,转载请注明出处:
一种新的大规模恶意软件活动正在通过伪装成旨在绕过在线服务限制的工具,用名为SilentCryptoMiner的加密货币矿工感染用户。
俄罗斯网络安全公司卡巴斯基表示,这一活动是更大趋势的一部分,网络犯罪分子越来越多地利用Windows数据包重定向(WPD)工具,以限制绕过程序的形式分发恶意软件。
“此类软件通常以存档形式分发,附带文本安装说明,开发者以误报为由建议禁用安全解决方案,”研究人员列昂尼德·别兹韦申科、德米特里·皮库什和奥列格·库普列夫表示,“这正好符合攻击者的利益,使他们能够在不受保护的系统中持续存在,而不会被发现。”
这种手段已被用于传播窃取程序、远程访问工具(RATs)、提供隐藏远程访问的特洛伊木马以及像NJRat、XWorm、Phemedrone和DCRat这样的加密货币矿工。
这一策略的最新变化是一场活动,通过伪装成基于深度数据包检测(DPI)绕过工具的矿工,感染了2000多名俄罗斯用户。据说,该程序通过一个拥有6万订阅者的YouTube频道上的恶意存档链接进行宣传。
在2024年11月发现的后续策略升级中,威胁者被发现冒充工具开发者,以虚假的版权打击通知威胁频道所有者,要求他们发布带有恶意链接的视频,否则以所谓的侵权为由面临频道被关闭的风险。
“2024年12月,用户报告了通过其他Telegram和YouTube频道分发的感染矿工的工具版本,这些频道随后被关闭,”卡巴斯基表示。
这些带有陷阱的存档文件被发现包含一个额外的可执行文件,其中一个合法的批处理脚本被修改为通过PowerShell运行二进制文件。如果系统中安装的杀毒软件干扰攻击链并删除恶意二进制文件,用户将看到一条错误消息,提示他们重新下载文件,并在禁用安全解决方案后运行它。
该可执行文件是一个基于Python的加载程序,旨在检索下一阶段的恶意软件,另一个Python脚本下载SilentCryptoMiner矿工有效载荷并建立持久性,但在检查是否在沙盒中运行并配置Windows Defender排除项之前不会采取行动。
“为了隐身,SilentCryptoMiner采用进程空心化技术将矿工代码注入系统进程(在这种情况下是dwm.exe),”卡巴斯基表示,“该恶意软件能够在配置中指定的进程活动时停止挖矿,并且可以通过网页面板进行远程控制。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
