详细内容或原文请订阅后点击阅览
SquidLoader:数字怪物正在追捕粗心的用户
黑客利用 Microsoft Word 的阴险伎俩让信息安全专家感到非常惊讶。
来源:安全实验室新闻频道黑客利用 Microsoft Word 的阴险伎俩让信息安全专家感到非常惊讶。
网络安全研究人员发现了一种新的恶意下载程序 SquidLoader,它通过针对中国组织的网络钓鱼活动进行传播。
LevelBlue Labs 于 2024 年 4 月首次检测到此恶意代码,据其称,SquidLoader 使用方法来避免静态和动态分析,并最终避免检测。
基于数据 LevelBlue 实验室攻击链使用网络钓鱼电子邮件,其附件伪装成 Microsoft Word 文档,但实际上是触发恶意代码执行的二进制文件。该代码用于从远程服务器下载第二阶段的恶意软件,包括 Cobalt Strike。
钴打击安全研究员 Fernando Dominguez 指出,下载程序具有复杂的规避和诱骗机制,可以帮助他们不被发现并使其难以分析。提供的 shellcode 被加载到同一进程中,以避免恶意软件被写入磁盘,从而避免检测。
SquidLoader 使用各种规避技术,例如使用加密代码段、未使用的垃圾代码、控制流图 (CFG) 混淆、调试器检测以及直接系统调用而不是 Windows NT API 调用。
恶意软件下载程序在寻求在受感染设备上传递和运行额外有效负载、绕过防病毒保护和其他安全措施的攻击者中越来越受欢迎。
网络威胁的演变需要不断警惕和适应。组织不仅应该加强技术方面的保护,还应该培训员工识别网络钓鱼攻击,因为即使是最先进的安全系统也可能因人为错误而被绕过。