近日瑞星威胁情报平台捕获到一起利用合法游戏平台Steam传播恶意软件的攻击事件,攻击者将高度定制化的信息窃取工具StealC木马伪装成Steam平台热门游戏BlockBlasters的官方补丁进行分发,该木马通过多层脚本加载技术绕过安全检测,最终解压并运行StealC木马。StealC木马是一种高度定制化的信息窃取恶意软件,其核心威胁在于广泛窃取浏览器存储的密码、Cookie、自动填充数据及加密货币钱包私钥,并支持按攻击者需求定向窃取特定文件类型。
近日 瑞星威胁情报平台 捕获到一起银狐木马的攻击事件,由于该样本存在较多对抗杀毒软件及EDR的手段,故此针对此次捕获的样本进行分析说明。
银狐木马主要通过钓鱼网页、即时通讯软件、下载站伪装成常用软件供用户下载等方式进行传播,通过钓鱼、即时通讯软件传播的木马文件名称通常包含发票、税务、补贴、通知、薪资等极具诱导性的字眼,以诱导用户打开,木马运行后会联网下载真正的木马病毒,进而攻击者利用远控木马监控用户日常操作,获取隐私信息等。
银狐木马作为数年前在国内开始流行的一类远控木马,时至今日活跃度只增不减。近期瑞星威胁情报平台在日常运营中捕获到多起攻击案例,现对相关案例分类进行详细分析
近日,瑞星威胁情报平台发现一起伪装成合法软件安装包的恶意攻击事件。攻击者将初始样本命名为Flash1.1.msi,冒充Flash安装包诱骗用户执行。随后,通过自定义脚本将样本内的恶意载荷在本地解压,并改名为wegame.exe,伪装成腾讯游戏客户端程序以迷惑用户。该程序运行后将内嵌在自身的远控木马在内存中动态执行,实现文件不落地攻击。远控木马通过与远程服务器通信,发送/接收数据,可能导致用户数据泄露或系统被控制。目前,该样本在VirusTotal上的检出率极低,目前仅瑞星独家检出。建议用户从官方渠道下载软件,并保持安全软件实时更新,以防范此类攻击。