5种更隐蔽、更危险的新型恶意软件
日期:2023年11月15日 阅:96
据Vade公司最新发布的《2023年第三季度网络安全报告》显示,2023年第三季度,共检测到1.257亿封包含恶意软件的电子邮件,相比第二季度增长了110%。这是个令人不安且值得关注的趋势。从本质上讲,目前的恶意软件正在逐渐演变成一个复杂多变的网络犯罪生态体系。为了获取更大的攻击收益,攻击者正在不断寻找新的传播路径和感染手段,并不断尝试任何可行的策略,来增强恶意软件的攻击能力。
为了更好地识别和预防新一代恶意软件的攻击威胁,帮助企业安全团队保持对恶意软件的信息更新和警惕,专业安全网站CyberTalk.org日前梳理总结了5种值得所有组织高度关注的新兴恶意软件并对其特点进行了研究分析。CyberTalk.org主编Shira Landau认为:相比传统的病毒、木马、僵尸程序等恶意软件,这些新型恶意软件更加隐蔽,也更加危险,代表了恶意软件未来演进发展的重要趋势。
01
GootBot:GootLoader恶意软件的新变种
2023年10月,IBM X-Force安全研究团队发现了GootLoader恶意软件的一个新变种“GootBot”,能够在受感染系统上进行更广泛的横向移动并智能化逃避安全监测。
研究人员指出,目前观察到的GootBot活动主要利用搜索引擎优化(SEO)中毒策略,以合同、法律表格或其他业务相关文件为主题,将受害者引向受感染的网站,诱骗他们下载带有病毒的文件,这些文件包含一个模糊处理的JavaScript文件。一旦感染后,大量的GootBot植入物会在整个企业环境中传播。更危险的情况是,每个植入都利用不同的硬编码C2服务器,使攻击难以阻止。
自2014年以来,一直活跃的Gootloader组织就大量依靠搜索引擎优化(SEO)中毒和受损WordPress网站的组合来传播恶意软件。此次发现的“GootBot”变种,表明了传统Gootloader恶意软件的一种战术转变,即在Gootloader感染后将植入物作为有效载荷下载,而不是使用CobaltStrike等后开发框架。同时,也凸显了攻击者在逃避检测和隐蔽操作方面的巨大能力提升。
防护建议:
02
BunnyLoader:“网红”版MaaS工具
BunnyLoader是一个新发现的恶意软件即服务(MaaS)工具,目前仍有大量的威胁功能还在开发完善中,主要是为了添加了新功能和错误修复。目前,BunnyLoader已经可以下载和执行有效负载、记录密钥、窃取敏感数据、加密货币以及执行远程攻击命令等。
研究人员发现,BunnyLoader是一种功能更丰富、价格更低廉的恶意软件既服务工具,尽管有很多功能还在开发,但其从上线开始就迅速受到网络犯罪分子的青睐。攻击者只需要花费250美元就可以在暗网上购买BunnyLoader的基本版本,而高级版本的售价也仅要350美元,后者具有更强的反分析、内存注入、检测逃避及额外的持久性机制。
BunnyLoader的核心特点是具有C2面板,该面板可以帮助没有专业背景的网络犯罪分子设置第二阶段有效负载,并启用键盘记录、凭证收集、剪贴板监控(用于窃取加密货币)等攻击功能。
最新分析结果显示,BunnyLoader已经配备了持久驻留机制和反沙箱策略,以确定自身是否在沙箱或模拟环境中运行,如果是的话,它会抛出虚假的架构不兼容错误来逃避分析和检测。此外,该恶意软件还具有截取网络浏览器信息、加密货币钱包、消息应用程序数据窃取等模块,可以充当标准的“信息窃取器”。
防护建议:
03
LionTail:既轻量又复杂的后门软件
日前,一个名为“疤痕狮蝎”(Scarred Manticore)的恶意软件组织被观察到使用一种轻量级后门软件“LionTail”,它集合了一组复杂的自定义加载程序和内存驻留恶意有效负载。
该恶意软件具有一个值得注意的组件,是用C语言编写的轻量级但复杂的恶意植入物,使攻击者能够通过HTTP请求远程执行命令,并运行攻击者发送到恶意软件配置中指定的URL有效载荷。
这是一个与已知恶意软件家族没有任何关联的新型恶意软件,因此其使用者往往能够轻松隐藏在合法的流量中而不被发现。
研究人员发现,LionTail恶意软件已被实际应用于针对政府、军事、电信和金融组织的攻击活动中。这些目标组织重点分布在伊拉克、以色列、约旦、科威特等海湾国家和地区组织中。使用它的恶意组织主要从事数据窃取、秘密访问和其他间谍性活动。
防护建议:
04
SecuriDropper:针对Android设备的木马软件服务
这是一种能够感染移动Android设备的木马软件即服务(Dropper -as-a- service,DaaS),能够通过伪装成合法的应用程序来感染移动Android设备。在大多数情况下,SecuriDropper会伪装成谷歌应用程序、Android更新、视频播放器、游戏甚至安全应用程序。一旦被下载后,该木马程序就会安装一个有效负载,实际上是某种形式的恶意软件。它通过确保对“读写外部存储”和“安装和删除包”权限的访问来做到这一点。
第二阶段的有效载荷是通过用户欺骗和界面操纵来安装的,因为用户在看到关于应用程序安装的虚假错误信息后,会被提示点击“重新安装”按钮。研究人员已经观察到通过SecuriDropper分发的SpyNote恶意软件。此外,SecuriDropper还被发现分发伪装成Chrome浏览器的银行Ermac木马,以及瞄准数百种加密货币和电子银行的恶意木马应用。
防护建议:
05
Jupyter infostealer:能够逃避检测的账号窃取工具
Jupyter infostealer是一种帮助攻击者窃取账号凭据并非法访问数据的新型恶意软件,主要针对教育、医疗和政府等行业的组织。尽管从技术上讲,这种恶意软件的早期版本自2020年以来就已经存在,但新的变体一直在不断更新,以逃避检测,并增加了很多令人不安的新功能。
在最近的攻击事件监测中,研究人员发现,新版本的Jupyter infostealer工具能够针对Chrome、Edge和Firefox浏览器,利用SEO中毒和搜索引擎重定向来传播。在最新的攻击案例中,Jupyter infostealer能够利用PowerShell命令来修改和签名私钥,并将恶意软件冒充为合法签名的文件来逃避审查,甚至已经能够访问受害者的设备。
Jupyter infostealer的感染主要是通过恶意网站、非法下载和网络钓鱼邮件发生的。在一份美国政府最新发布的2024年预算在线副本中,研究人员发现已被感染Jupyter infostealer软件。
防护建议:
参考链接:
https://www.cybertalk.org/2023/11/07/5-emerging-malware-threats-record-breaking-malware-activity/