网络安全工程师必须了解的5种新型恶意软件
当前,恶意软件正在逐渐演变成一个复杂多变的网络犯罪生态体系。为了获得更大的攻击效益,攻击者正在不断寻找新的传播路径和感染手段,并在不断尝试各种可行的策略,以增强恶意软件的攻击能力。
为了更好地识别和预防新一代恶意软件的威胁,以帮助企业安全团队保持对恶意软件信息的更新和警惕,专业安全网站CyberTalk.org最近总结了5种值得所有组织高度关注的新兴恶意软件,并对其特点进行了深入研究分析。
第一种 BunnyLoader:MaaS工具中的“网红”版本
BunnyLoader是一款新发现的恶意软件即服务(MaaS)工具,其功能丰富,价格低廉,不断添加新功能和修复错误。攻击者只需花费250美元就可以在暗网上购买基本版本,而高级版本售价仅为350美元,它拥有非常强的反分析、内存注入、检测逃避等功能。具有C2面板,可帮助非专业网络犯罪分子设置第二阶段有效负载,并启用键盘记录、凭证收集、剪贴板监控等攻击功能。
第二种 GootBot:GootLoader恶意软件的新变种
在2023年10月,IBM X-Force安全研究团队发现了GootLoader恶意软件的一个新变种,被称为“GootBot”。
GootBot主要利用搜索引擎优化(SEO)中毒策略,伪装成合同、法律表格或其他业务相关文件,引诱受害者下载带有病毒的文件。一旦感染,GootBot会在整个企业环境中广泛传播。而且这一变种具有非常广泛的横向移动能力,非常智能,能够躲过安全监测。令人担忧的是,每个植入物都使用不同的硬编码C2服务器,使阻止攻击变得更加困难。
第三种 SecuriDropper
SecuriDropper是一种能够感染移动Android设备的木马软件即服务(DaaS),通常伪装成合法的应用程序以感染设备。它能够伪装成谷歌应用程序、Android更新、视频播放器、游戏甚至安全应用程序。一旦被下载,SecuriDropper会安装一个有效负载,实际上是某种形式的恶意软件。它通过确保获得“读写外部存储”和“安装和删除包的权限来实现这一点。第二阶段的有效载荷是通过用户欺骗和界面操纵来安装的,因为用户通常在看到有关应用程序安装的虚假错误信息后会被提示点击“重新安装”按钮。
第四种 Jupyter infostealer
Jupyter infostealer是一种帮助攻击者窃取账号凭据并非法访问数据的新型恶意软件,主要瞄准教育、医疗和政府等行业的组织。尽管其早期版本自2020年以来一直存在,但新的变体不断更新,以逃避检测并添加新功能。最近的观察表明,新版本的Jupyter infostealer工具可以利用SEO中毒和搜索引擎重定向来传播,针对Chrome、Edge和Firefox浏览器。它能够修改和签署私钥,将恶意软件伪装成合法签名的文件,甚至能够访问受害者的设备。
第五种 Scarred Manticore
Scarred Manticore名为一个名为“疤痕狮蝎”,这款恶意软件组织使用了一种轻量级后门软件,名为“LionTail”。这种恶意软件包括复杂的自定义加载程序和内存驻留恶意有效负载。LionTail的特点之一是使用C语言编写的轻量级但复杂的恶意植入物,允许攻击者通过HTTP请求远程执行命令,运行恶意软件配置中指定的URL有效载荷。这是一种与已知恶意软件家族无关的新型恶意软件,因此攻击者通常能够轻松地隐藏在合法流量中。
与传统的病毒、木马、僵尸程序等恶意软件相比,这些新型恶意软件更加隐蔽、危险,代表了恶意软件未来演进的重要趋势。