为了更好地识别和预防新一代恶意软件的攻击威胁,帮助企业安全团队保持对恶意软件的信息更新和当心,专业安全网站CyberTalk.org日前梳理总结了5种值得所有组织高度关注的新兴恶意软件并对其特点进行了研究剖析。CyberTalk.org主编Shira Landau认为:比较传统的病毒、木马、僵尸程序等恶意软件,这些新型恶意软件更加暗藏,也更加危险,代表了恶意软件未来演进发展的主要趋势。
01GootBot:GootLoader恶意软件的新变种2023年10月,IBM X-Force安全研究团队创造了GootLoader恶意软件的一个新变种“GootBot”,能够在受传染系统上进行更广泛的横向移动并智能化躲避安全监测。
研究职员指出,目前不雅观察到的GootBot活动紧张利用搜索引擎优化(SEO)中毒策略,以条约、法律表格或其他业务干系文件为主题,将受害者引向受传染的网站,诱骗他们***带有病毒的文件,这些文件包含一个模糊处理的JavaScript文件。一旦传染后,大量的GootBot植入物会在全体企业环境中传播。更危险的情形是,每个植入都利用不同的硬编码C2做事器,使攻击难以阻挡。
自2014年以来,一贯生动的Gootloader组织就大量依赖搜索引擎优化(SEO)中毒和受损WordPress网站的组合来传播恶意软件。这次创造的“GootBot”变种,表明了传统Gootloader恶意软件的一种战术转变,即在Gootloader传染后将植入物作为有效载荷***,而不是利用CobaltStrike等后开拓框架。同时,也凸显了攻击者在躲避检测和暗藏操作方面的巨大能力提升。
防护建议:
对所有员工开展SEO攻击的安全意识培训,加强对中毒网页的识别和防护;启用浏览器的安全功能和恶意软件防护功能,并确保操作系统及时进行安全更新;确保对网络做事器和网络运用程序进行精确的配置;增强安全意识,从官方渠道安装正版软件。02BunnyLoader:“网红”版MaaS工具BunnyLoader是一个新创造的恶意软件即做事(MaaS)工具,目前仍有大量的威胁功能还在开拓完善中,紧张是为了添加了新功能和缺点修复。目前,BunnyLoader已经可以***和实行有效负载、记录密钥、盗取敏感数据、加密货币以及实行远程攻击命令等。
研究职员创造,BunnyLoader是一种功能更丰富、价格更低廉的恶意软件既做事工具,只管有很多功能还在开拓,但其从上线开始就迅速受到网络犯罪分子的青睐。攻击者只须要花费250美元就可以在暗网上购买BunnyLoader的基本版本,而高等版本的售价也仅要350美元,后者具有更强的反剖析、内存注入、检测躲避及额外的持久性机制。
BunnyLoader的核心特点是具有C2面板,该面板可以帮助没有专业背景的网络犯罪分子设置第二阶段有效负载,并启用键盘记录、凭据网络、剪贴板监控(用于盗取加密货币)等攻击功能。
最新剖析结果显示,BunnyLoader已经配备了持久驻留机制和反沙箱策略,以确定自身是否在沙箱或仿照环境中运行,如果是的话,它会抛出虚假的架构不兼容缺点往返避剖析和检测。此外,该恶意软件还具有截取网络浏览器信息、加密货币钱包、运用程序数据盗取等模块,可以充当标准的“信息盗取器”。
防护建议:
定期更新操作系统和运用程序补丁,并利用强密码和管理员权限限定等方法;持续检测非常网络访问行为和干系的非常指标,包括非常的代码实行、横向移动等;利用端点防护工具,识别和阻挡恶意程序的运行。03LionTail:既轻量又繁芜的后门软件日前,一个名为“疤痕狮蝎”(Scarred Manticore)的恶意软件组织被不雅观察到利用一种轻量级后门软件“LionTail”,它凑集了一组繁芜的自定义加载程序和内存驻留恶意有效负载。
该恶意软件具有一个值得把稳的组件,是用C措辞编写的轻量级但繁芜的恶意植入物,使攻击者能够通过HTTP要求远程实行命令,并运行攻击者发送到恶意软件配置中指定的URL有效载荷。
这是一个与已知恶意软件家族没有任何关联的新型恶意软件,因此其利用者每每能够轻松隐蔽在合法的流量中而不被创造。
研究职员创造,LionTail恶意软件已被实际运用于针对政府、军事、电信和金融组织的攻击活动中。这些目标组织重点分布在伊拉克、以色列、约旦、科威特等海湾国家和地区组织中。利用它的恶意组织紧张从事数据盗取、秘密访问和其他特工性活动。
防护建议:
安装反特工软件防护工具,并有效开启反特工软件干系功能;始终利用防火墙,对***的文件进行安全性检讨;定期开展反病毒软件扫描,创造和打消已传染的特工软件;履行完善的访问掌握方法,限定对敏感系统和数据的访问。04SecuriDropper:针对Android设备的木马软件做事这是一种能够传染移动Android设备的木马软件即做事(Dropper -as-a- service,DaaS),能够通过伪装成合法的运用程序来传染移动Android设备。在大多数情形下,SecuriDropper会伪装成谷歌运用程序、Android更新、***播放器、游戏乃至安全运用程序。一旦被***后,该木马程序就会安装一个有效负载,实际上是某种形式的恶意软件。它通过确保对“读写外部存储”和“安装和删除包”权限的访问来做到这一点。
第二阶段的有效载荷是通过用户欺骗和界面操纵来安装的,由于用户在看到关于运用程序安装的虚假缺点信息后,会被提示点击“重新安装”按钮。研究职员已经不雅观察到通过SecuriDropper分发的SpyNote恶意软件。此外,SecuriDropper还被创造分发伪装成Chrome浏览器的银行Ermac木马,以及瞄准数百种加密货币和电子银行的恶意木马运用。
防护建议:
确保运用程序来源可信,并仔细审查软件的权限和行为;监控和剖析非常网络运用和访问行为;支配完善的安全防护体系,包括入侵防护系统、反恶意软件工具、防火墙和其他安全软件。05Jupyter infostealer:能够躲避检测的账号盗取工具Jupyter infostealer是一种帮助攻击者盗取账号凭据并造孽访问数据的新型恶意软件,紧张针对教诲、医疗和政府等行业的组织。只管从技能上讲,这种恶意软件的早期版本自2020年以来就已经存在,但新的变体一贯在不断更新,以躲避检测,并增加了很多令人不安的新功能。
在最近的攻击事宜监测中,研究职员创造,新版本的Jupyter infostealer工具能够针对Chrome、Edge和Firefox浏览器,利用SEO中毒和搜索引擎重定向来传播。在最新的攻击案例中,Jupyter infostealer能够利用PowerShell命令来修正和署名私钥,并将恶意软件伪装为合法署名的文件往返避审查,乃至已经能够访问受害者的设备。
Jupyter infostealer的传染紧张是通过恶意网站、造孽***和网络钓鱼邮件发生的。在一份美国政府最新发布的2024年预算在线副本中,研究职员创造已被传染Jupyter infostealer软件。
防护建议:
安装防病毒软件、防火墙及其他安全软件;利用运用白名单,只许可得到容许的运用程序在设备上运行;定期更新软件,及时修复已知的漏洞;开展用户培训和教诲,增强安全意识;履行网络分段,将敏感信息和运用与其他网络运用隔离开来;支配最新的入侵检测系统,及时识别恶意活动的迹象。参考链接:
https://www.cybertalk.org/2023/11/07/5-emerging-malware-threats-record-breaking-malware-activity/
