您的位置:首页 >科技 >

这种窃取密码的恶意软件刚刚发展出一种隐藏的新策略

2019-05-05 10:32:56来源:

这种窃取密码的恶意软件刚刚发展出一种隐藏的新策Windows恶意软件活动重新出现,试图保持警惕的新技术。众所周知的恶意软件形式已经被企业窃取登录凭证和资金十多年了,它再次更新了新的技巧,使其更有效地避免检测。勒索软件:马士基从对抗NotPetya攻击中学到的关键教训Emotet团队试图围绕其银行僵尸网络构建物联网设备的外壳在乘客隐私愤怒之后,美国联合航空公司负责座椅摄像谷歌从商店引导主要Android应用开发者进行大规模广告欺诈Qakbot(也称为Qbot)自2008年以来一直在利用类似蠕虫的功能进行传播。窃取信息的木马恶意软件以Microsoft Windows系统为目标,旨在创建后门,并使用可提供财务数据访问权限的用户名和密码。现在,Qakbot已经更新了新的持久性机制,使受害者更难以检测和删除恶意软件。思科Talos的网络安全研究人员详细介绍了新的混淆技术。

SEE:网络安全的成功策略(ZDNet特别报道)|以PDF格式下载报告(TechRepublic)

恶意软件的受害者通常通过dropper感染,当成功安装时,它将在受感染的计算机上创建一个计划任务,指示它从多个受攻击者控制的恶意域之一执行JavaScript下载程序。

4月份的请求数量激增,这似乎与新的Qakbot活动和持久性机制的变化相吻合。

新的下载程序始终从被劫持的域上的同一统一资源标识符请求资源,这些资源是XOR加密的,以帮助模糊JavaScript下载程序中包含的恶意数据并允许恶意软件执行其任务。

这也有助于将恶意软件分成两个单独的文件,这些文件仅在运行丢弃的可执行文件时重新组装以部署Qakbot - 这使得反病毒软件更难以检测到。

“专注于查看恶意可执行文件的完整传输的检测可能会错过这个更新版本的Qakbot。由于对持久性机制的这种更新,恶意Qbot二进制文件的传输将被混淆到某些安全产品可能会错过的程度它,“思科Talos的安全研究员Ashlee Benge说。

一旦部署在受感染的系统上,该木马恶意软件将在后台工作,窃取攻击者目标的相关数据。研究人员发布了Qakbot恶意域名的完整列表,作为恶意软件分析的一部分,以及哈希和妥协指标。

但是针对Qakbot的最佳防御形式是首先阻止它部署到机器上,因为即使删除了恶意软件,它仍然会导致持续的问题。