最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

Windows恶意软件将coinminer安装延迟一个月以逃避检测

网络安全 快米云 来源:快米云 121浏览

一项伪装成谷歌翻译或 MP3 下载程序的新恶意软件活动被发现在 11 个国家/地区散布加密货币挖掘恶意软件。

虚假应用程序正在通过合法的免费软件站点分发,从而使站点的常规访问者和搜索引擎都广泛接触恶意应用程序。

根据 Check Point的一份报告,该恶意软件由名为“Nitrokod”的开发人员创建,乍一看似乎没有恶意软件,并提供了宣传的功能。

然而,Check Point 表示,该软件故意将恶意恶意软件组件的安装延迟长达一个月,以逃避检测。

Nitrokod 网站
Nitrokod 网站主页

不幸的是,Nitrokod 的产品在 Google 搜索结果中排名很高,因此该网站对于寻求特定实用程序的用户来说是一个极好的陷阱。

ZZQIDC已通过列出的联系地址联系了 Nitrokod 的管理员,但我们尚未收到他们的评论。

此外,正如 Check Point 发现的那样,Nitrokod 的 Google 翻译小程序也被上传到 Softpedia,下载量超过 112,000 次。

softpedia 上的恶意软件应用程序
Softpedia 上的恶意软件应用程序 (检查点)

感染链

无论从 Nitrokod 网站下载哪个程序,用户都会收到一个受密码保护的 RAR,该 RAR 可逃避 AV 检测,并包含一个以所选应用程序命名的可执行文件。

运行该文件后,该软件与两个注册表项一起安装在用户的系统上,一个 

分析主机并将详细信息发送到 C2
分析主机并将详细信息发送到 C2 (检查点)

为了避免引起怀疑并阻止沙盒分析,该软件会在感染的第五天从另一个通过 Wget 获取的加密 RAR 文件中激活一个释放器。

接下来,该软件使用 PowerShell 命令清除所有系统日志,再过 15 天后,从“intelserviceupdate[.]com”获取下一个加密 RAR。

感染阶段的时间表
感染阶段时间表 (检查点)

下一阶段的 dropper 检查是否存在防病毒软件,搜索可能属于虚拟机的进程,并最终将防火墙规则和排除项添加到 Windows Defender。

防火墙规则免除恶意软件通信的审查
免除恶意软件通信审查的防火墙规则 (检查点)

现在设备已经为最终的有效载荷做好了准备,程序加载最后一个 dropper,它会获取另一个 RAR 文件,其中包含 XMRig 挖掘恶意软件、它的控制器和一个包含其设置的“.sys”文件。

该恶意软件确定它是在台式机还是笔记本电脑上运行,然后连接到其 C2(“nvidiacenter[.]com”)并通过 HTTP POST 请求发送完整的主机系统报告。

最后,C2 会响应指令,例如是否激活、使用多少 CPU 功率、何时再次 ping C2 或检查哪些程序并在找到时退出。

完整的攻击链图
完整的攻击链图 (Check Point)

如何保持安全

加密挖掘恶意软件可能存在风险,因为它可能会通过导致硬件压力和过热来损坏硬件,并且可能会通过使用额外的 CPU 资源来影响计算机的性能。

此外,Check Point 发现的恶意软件释放器可以随时将最终有效负载与更危险的东西交换。

为了保护自己,请避免下载承诺功能并非由原始开发者正式发布的应用程序,例如桌面版的谷歌翻译工具。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Windows恶意软件将coinminer安装延迟一个月以逃避检测