保贝狗是一款个人信息保护产品。
一种名为HijackLoader的新恶意软件加载程序正在网络犯罪社区中获得牵引力,以提供各种有效载荷,例如DanaBot,SystemBC和RedLine Stealer。
“尽管HijackLoader不包含高级功能,但它能够使用各种模块进行代码注入和执行,因为它使用模块化架构,这是大多数加载器所没有的功能,”Zscaler ThreatLabz研究员Nikolaos Pantazopoulos说。
该公司于 2023 年 40 月首次观察到该恶意软件,该恶意软件采用多种技术在雷达下飞行。这包括使用系统调用来逃避安全解决方案的监视,基于嵌入式阻止列表监视与安全软件相关的进程,以及在不同阶段将代码执行推迟多达 <> 秒。
用于渗透目标的确切初始访问载体目前尚不清楚。尽管存在反分析方面,但加载器包含在一个主仪表模块中,便于使用嵌入式模块进行灵活的代码注入和执行。
通过在 Windows 启动文件夹中创建快捷方式文件 (LNK) 并将其指向后台智能传输服务 (BITS) 作业,可以实现受感染主机上的持久性。
“HijackLoader是一个具有规避技术的模块化加载器,它为恶意负载提供了多种加载选项,”Pantazopoulos说。“而且,它没有任何高级功能,代码质量很差。
Flashpoint披露了名为RisePro的信息窃取恶意软件的更新版本的详细信息,该恶意软件以前通过名为PrivateLoader的按安装付费(PPI)恶意软件下载服务分发。
“卖家在他们的广告中声称,他们已经利用了’RedLine’和’Vidar’的最佳方面来制作一个强大的窃取者,”Flashpoint指出。“而这一次,卖家还承诺为RisePro的用户提供新的优势:客户托管自己的面板,以确保原木不会被卖家窃取。
RisePro是用C++编写的,旨在收集受感染机器上的敏感信息,并以日志的形式将其泄露到命令和控制(C&C)服务器。它于 2022 年 <> 月首次发售。
它还发现了一个用Node编写的新信息窃取程序.js该窃取程序被打包成可执行文件,并通过恶意的大语言模型(LLM)主题Facebook广告和冒充字节跳动CapCut视频编辑器的虚假网站进行分发。
“当窃取程序被执行时,它会运行其主要功能,从几个基于Chromium的网络浏览器中窃取cookie和凭据,然后将数据泄露到C&C服务器和Telegram机器人,”安全研究员Jaromir Horejsi说。
“它还将客户端订阅到运行 GraphQL 的 C&C 服务器。当C&C服务器向客户端发送消息时,窃取功能将再次运行。目标浏览器包括Google Chrome,Microsoft Edge,Opera(和OperaGX)和Brave。
这是第二次观察到虚假的CapCut网站提供窃取恶意软件。2023 年 <> 月,Cyble 发现了两个不同的攻击链,它们利用该软件作为诱饵,诱骗毫无戒心的用户运行 Offx 窃取者和 RedLine 窃取者。
这些发展描绘了一个不断发展的网络犯罪生态系统,窃取者感染是威胁行为者用来渗透组织并进行利用后行动的主要初始攻击媒介。
因此,威胁行为者加入潮流以产生新的窃取恶意软件菌株(例如 Prysmax)也就不足为奇了,这些恶意软件株结合了瑞士军刀的功能,使其客户能够最大限度地扩大其覆盖范围和影响力。
“基于Python的恶意软件是使用Pyinstaller打包的,它可用于将恶意代码及其所有依赖项捆绑到一个可执行文件中,”Cyfirma说。“窃取恶意软件的信息集中在禁用Windows Defender,操纵其设置以及配置自己对威胁的响应。
“它还试图降低其可追溯性,并在受感染的系统上保持立足点。该恶意软件似乎是为数据盗窃和泄露而设计的,同时逃避了安全工具和动态分析沙箱的检测。
