AhnLab 安全情报中心 (ASEC) 已发出警告,称一种新型恶意软件会伪装成破解软件和合法工具。这种恶意软件被称为“InnoLoader”,与普通恶意软件不同。与执行时激活的传统恶意软件不同,InnoLoader 潜伏在安装过程中,等待毫无戒心的用户点击安装程序界面,然后释放其恶意负载。
传播恶意软件的网页 | 图片来源:ASEC
与通常包含预编译恶意代码的传统恶意软件不同,这种被称为“InnoLoader”的新病毒株在每次发出下载请求时都会创建一个独特的恶意软件实例。这种动态生成过程导致每个恶意软件样本都有不同的哈希值,但保持相同的恶意功能,这大大增加了网络安全防御的检测和跟踪难度。
恶意软件执行界面 | 图片:ASEC
该恶意软件巧妙地通过呈现安装程序用户界面 (UI) 来伪装自己。只有当用户与安装程序交互时才会触发恶意行为,例如在安装过程中单击“下一步”。这种欺骗性方法不仅会诱使用户产生虚假的安全感,还会使恶意活动的检测变得复杂。
恶意软件如何运作
Lu0Bot – StealC 恶意软件执行流程 | 图片:ASEC
-
下载和执行:当用户请求下载时,会生成并交付一个独特的恶意软件实例。执行后,会显示安装程序 UI,从而掩盖潜在的恶意意图。
-
命令和控制 (C2) 通信:恶意软件与命令和控制服务器 (C2) 通信,根据服务器的响应下载并执行其他文件。C2 的响应决定安装是否继续进行恶意活动或终止而不发生意外以逃避检测。
-
多个恶意组件:调查显示,该恶意软件可以下载各种恶意组件,包括:
-
Infostealer StealC:旨在窃取密码和加密货币钱包详细信息等敏感信息。
-
Socks5Systemz:利用受感染的系统作为商业代理资源。
-
Clicker:一种伪装的浏览器插件,可以人为地增加浏览量。
-
广告软件和其他恶意工具:各种广告软件和潜在有害程序伪装成合法软件,如 Opera 浏览器和 360 安全产品。
为了阻碍分析和检测,该恶意软件采用了几种复杂的技术:
-
时间戳和国家信息:每个下载请求都包含时间戳和国家信息,确保每次都创建一个新的、唯一的恶意软件样本。
-
合法软件伪装:在有恶意软件下载历史的环境中,系统可能会暂时提供合法软件(例如 WinRAR)以避免引起怀疑。
-
复杂的执行流程:恶意软件通过多步骤过程执行,通常涉及混淆的脚本和临时文件,以使取证分析复杂化。
强烈建议用户谨慎使用,避免使用盗版软件,并保持安全解决方案为最新版本。
原文始发于微信公众号(独眼情报):InnoLoader 恶意软件伪装成破解软件逃避检测
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论