文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

黑客利用YouTube 平台传播复杂的恶意软件

2024-11-29 17:47

关注

研究发现,攻击者曾在 2022 年实施了一项复杂的加密货币挖掘活动,目标主要针对俄罗斯用户。攻击者使用多种攻击媒介(包括被劫持的 YouTube 账户 )来分发伪装成如uTorrent、Microsoft Office和Minecraft等流行应用的恶意文件。

感染链始于 "受密码保护的 MSI 文件",其中包含触发 多阶段攻击序列的 VBScript,包括利用隐藏在合法数字签名 DLL 中的 AutoIt 脚本,将权限升级到 SYSTEM 级。 这是一种在隐藏 "恶意代码 "的同时保持签名有效性的技术。

该恶意软件通过 WMI 事件过滤器、注册表修改(特别针对 图像文件执行选项、调试器和MonitorProcess 键)以及滥用开源Wazuh SIEM 代理进行远程访问等多种机制建立了持久性。

此外,攻击者采用了复杂的防御规避技术(通 explorer.exe进程镂空、反调试检查和使用基于特殊 GUID 的目录名操纵文件系统)来隐藏恶意组件。

卡巴斯基表示,最终有效载荷部署为SilentCryptoMiner,用于挖掘Monero和Zephyr等注重隐私的加密货币,同时实施基于进程的隐身机制以逃避检测。

该恶意软件还收集系统遥测数据(包括CPU 规格、GPU 详细信息、操作系统版本和防病毒信息)并通过 Telegram 机器人 API 进行传输,其中一些变体包括剪贴板劫持功能,特别针对加密货币钱包地址。

除了针对俄罗斯用户,这一恶意活动还针对来自白俄罗斯、印度、乌兹别克斯坦、哈萨克斯坦、德国、阿尔及利亚、捷克、莫桑比克和土耳其的用户。由于这些用户经常自愿禁用 AV 工具的保护和安全措施来安装非官方软件,因此特别容易受到攻击。

这种攻击的复杂性体现在其模块化结构上,即可以根攻击者的目标动态加载不同的有效载荷组件,表明大规模活动可通过先进的混淆方法和反分析功能,在保持隐蔽性的同时融入复杂的企业级攻击技术。

来源:FreeBuf内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯