查看: 1255|回复: 1
收起左侧

[安全行业] 窃密程序利用免费软件搜索广告传播,还能躲避Microsoft Defender

[复制链接]
朦胧的风
发表于 2021-7-24 23:23:55 | 显示全部楼层 |阅读模式
a50f4bfbfbedab6467873b4c84cc75cb7b311e43.jpeg

安全厂商Bitdefender发现一只恶意程序利用破解软件的搜索广告传播,还具有躲避微软杀毒软件Microsoft Defender侦测的能耐。

名为MosaicLoader恶意程序的文件信息刻意模仿合法付费软件,再利用付费搜索广告传播,吸引想找破解软件的用户上钩,借此感染其设备。它其实是一个下载器,能下载任何恶意酬载到受害系统中。一旦植入到用户系统内,它会创建一连串复杂的行程。Bitdefender之所以将这只恶意软件命名为MosaicLoader,是因为它内部结构复杂,可防止研究人员分析及逆向工程。

MosaicLoader进入受害者系统后和许多恶意程序行为相似,目的在多阶段下载恶意程序以回避侦测,但有一项躲避侦测技巧十分特殊。研究人员发现它会在微软杀毒软件Microsoft Defender(或原名Windows Defender)中加入本机排除项(local exclusion),使杀毒软件扫描时跳过 \PublicGaming\文件夹下的特定文件名,如prun.exe、appsetup.exe)以躲避侦测,这些文件名都是MosaicLoader下载的恶意程序之一。最后,MosaicLoader和外在C&C服务器创建连接,下载多种威胁,包括简单的cookie窃取程序、挖矿软件,以及Glupteba后门程序,用于窃取用户计算机重要信息,或产生加密货币以谋利。

目前MosaicLoader是由谁开发不得而知。研究人员分析它的感染及下载过程和之流传过的Warzone RAT一样,但两者用的C&C服务器及下载组件则不相关。

由于MosaicLoader主要锁定想寻找破解软件的用户下手,因此研究人员呼吁用户不要从陌生网站下载和安全应用程序。

https://baijiahao.baidu.com/s?id=1706163277571519871

评分

参与人数 1分享 +3 人气 +2 收起 理由
屁颠屁颠 + 3 + 2 感谢提供分享

查看全部评分

aphorism
发表于 2021-7-26 11:59:39 | 显示全部楼层
这个有病毒样本吗
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 07:04 , Processed in 0.114247 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表