新型恶意软件加载器采用调用栈欺骗、GitHub C2 与.NET Reactor实现隐蔽攻击
💡
原文中文,约1900字,阅读约需5分钟。
📝
内容提要
网络安全研究人员发现新版本的Hijack Loader恶意软件,增强了隐蔽性,新增调用栈欺骗和反虚拟机检测模块,能够注入恶意代码并绕过安全软件。此外,SHELBY恶意软件利用GitHub进行命令控制,通过钓鱼邮件传播。Emmenhtal加载器则通过支付主题钓鱼邮件传播SmokeLoader,并使用.NET Reactor进行代码混淆。
🎯
关键要点
- 网络安全研究人员发现Hijack Loader恶意软件的新版本,增强了隐蔽性。
- Hijack Loader新增调用栈欺骗和反虚拟机检测模块,能够注入恶意代码并绕过安全软件。
- 该恶意软件通过合法代码签名证书和ClickFix策略进行传播。
- SHELBY恶意软件利用GitHub进行命令控制,通过钓鱼邮件传播。
- SHELBYLOADER使用DLL侧加载技术执行恶意代码,并与GitHub建立C2通信。
- Emmenhtal加载器通过支付主题钓鱼邮件传播SmokeLoader,并使用.NET Reactor进行代码混淆。
❓
延伸问答
Hijack Loader恶意软件的新版本有哪些增强功能?
新版本的Hijack Loader增加了调用栈欺骗和反虚拟机检测模块,能够更好地隐藏恶意代码并绕过安全软件。
SHELBY恶意软件是如何进行命令控制的?
SHELBY恶意软件利用GitHub进行命令控制,通过钓鱼邮件传播并执行DLL侧加载技术。
Emmenhtal加载器是如何传播SmokeLoader的?
Emmenhtal加载器通过支付主题的钓鱼邮件传播SmokeLoader,并使用.NET Reactor进行代码混淆。
Hijack Loader如何实现持久化驻留?
Hijack Loader通过计划任务建立持久化驻留,并利用反虚拟机检测模块来逃避分析。
SHELBYLOADER是如何执行恶意代码的?
SHELBYLOADER使用DLL侧加载技术执行恶意代码,并与GitHub建立C2通信。
新型恶意软件加载器的隐蔽性如何增强?
新型恶意软件加载器通过调用栈欺骗和反虚拟机检测等技术增强隐蔽性,增加了分析和检测的难度。
➡️
