详细内容或原文请订阅后点击阅览
下载了这本书 - 失去了一切:ViperSoftX 的狡猾感染方案
网络欺诈者掌握了一种意想不到的传播恶意软件的渠道。
来源:安全实验室新闻频道网络欺诈者掌握了一种意想不到的传播恶意软件的渠道。
Trellix 的安全研究人员发现,ViperSoftX 恶意软件现在通过从盗版 torrent 站点下载的电子书进行传播。这种复杂的恶意软件使用 .NET 公共语言运行时 (CLR) 动态加载和执行命令,在 AutoIt 内创建 PowerShell 环境。
特雷利克斯 已找到, .NET PowerShell 自动Trellix 指出,使用 CLR 允许 ViperSoftX 集成 PowerShell 功能、执行恶意功能并避免被可能注意到单独 PowerShell 活动的安全机制检测到。
ViperSoftX 于 2020 年首次被 Fortinet 发现,此后一直在不断改进,始终未被检测到并绕过安全措施。 2023 年 4 月,趋势科技专家记录了该恶意软件使用的复杂反分析技术,例如字节重新映射和 Web 浏览器通信阻止。
2024 年 5 月,黑客积极使用 ViperSoftX 传播其他恶意软件,例如 Quasar RAT 和 TesseractStealer。这是通过黑客软件和种子网站完成的,但电子书诱饵的新方法让研究人员感到惊讶。
在包含所谓电子书的 RAR 存档内,有一个隐藏文件夹和一个伪装成无害文档(实际上是一本电子书)的恶意 Windows 快捷方式。运行该快捷方式会启动多步骤感染序列,首先提取 PowerShell 代码,显示隐藏文件夹并在系统上建立持久性。然后运行 AutoIt 脚本,与 .NET CLR 交互以解密并运行辅助 PowerShell 脚本,即 ViperSoftX 程序。