惡意廣告攻擊新招  駭客利用程式載入器避檢測

編譯／鄭智懷

資安業者SentinelOne在本周稍早發表的報告揭露，駭客正利用惡意廣告散播惡意程式載入器MalVirt，在受害者的電腦植入惡意軟體家族Formbook的竊密軟體。

該報告指出，有別於主流的躲避監測方式，駭客在此次發現的攻擊行動中使用，在虛擬化保護軟體KoiVM的基礎上開發出的惡意程式載入器MalVirt十分罕見。其功能是以.NET虛擬化技術來混淆受害者電腦的資安檢測工具，接著利用Windows作業系統的免費軟體Process Explorer的驅動程式，終止處理程序。

研究員發現，駭客主要利用惡意程式載入器MalVirt，使竊密軟體Formbook在植入受害者電腦的過程中不被察覺。

而透過惡意廣告散播惡意軟體的現象則反映出，在微軟因應夾帶惡意巨集的網路釣魚和垃圾郵件攻擊案例激增下，改變其瀏覽器預設功能，達到阻擋巨集自動啟動的目標後，駭客也隨之調整惡意軟體的散播方式。

研究員預測，由於惡意廣告可以接觸到大量潛在受害者，其未來會成為散播惡意軟體的主要手法之一。

該報告還提到，惡意軟體家族Formbook旗下的同名惡意軟體Formbook，及更新版本的XLoader具有側錄鍵盤輸入紀錄、螢幕截圖、網路和其他憑據竊取等豐富功能。

報告特別指出，XLoader還擁有偽裝真實的命令與控制（C2）通訊，透過在不同的網路託管平台，例如Azure、Tucows、Choopa 和 Namecheap設置的誘餌伺服器發送假訊號，躲避網路檢測的功能。這使得駭客成功將惡意軟體植入受害者電腦，竊取意欲獲得的數位資料的機率大幅提高。

資料來源：SentinelOne

瀏覽 473 次