长久以来,安装付费(PPI)恶意软件服务已经成为 *** 犯罪生态系统不可分割的一部分。恶意软件运营者提供支付、恶意有效载荷和目标信息,负责运行服务的人把分发和传播部分外包出去。可访问性和合适的成本使得恶意软件运营商可以利用这些服务作为一种武器,用于快速、批量和地理定位的恶意软件感染。
通过了解这些服务是如何扩散的,防御者可以更好地识别这些活动,并阻止它们对组织的 IT 堆栈造成严重破坏。本报告重点介绍了 PrivateLoader 模块化下载程序,该下载程序由 C++程式语言编写,连接到一个未经确认的 PPI 服务。PrivateLoader 位于此操作的前端,并与其后端基础设施通信,以检索 url,从而将恶意有效负载“安装”到受感染的主机上。正如与 PPI 服务绑定的下载一样,PrivateLoader 传送了各种数据,比如哪些有效载荷被下载并成功启动。
分发活动通常依靠搜索引擎优化(SEO)增强的网站 *** ,吸引毫无防备的搜索盗版软件的受害者下载并执行恶意软件。它通常会发送一个密码保护的存档,其中包含一个安装文件,该文件在受感染的主机上嵌入并执行多个恶意有效负载,如GCleaner、PrivateLoader、Raccoon、Redline、Smokeloader和Vidar恶意软件。我们估计,这些攻击活动从2021年5月起开始纳入PrivateLoader。
本报告调查了其背后的 PPI 服务和运营商使用的获取“安装”的 *** ,并提供了服务提供的恶意软件组的详细信息。
更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1829/
消息来源:intel471,封面来自 *** ,译者:Zoeppo。
本文由 HackerNews.cc 翻译整理。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
Cloudflare 透露公司已经阻止了来自多个国家的大规模 HTTPS DDoS 攻击。该公司表示,该僵尸网络每秒发出 1530 万个请求(rps),使其成为针对其客户的最大 HTTPS DDoS 攻击。 Cloudflare 表示本次攻击的目标是针对一家 The Crypto Launchp...
Bleeping Computer 网站披露,网络安全分析师发现 GoDaddy 管理服务器上托管的部分 WordPress 网站,被部署了大量后门,所有网站都具有相同的后门有效载荷。 据悉,这次网络攻击可能影响到许多互联网服务经销商,已知的包括 MediaTemple、tsoHost、123Re...
在周四的一份网络安全公告中,育碧(Ubisoft)证实该公司在上周遭遇了一起“网络安全事件”。尽管攻击尝试似乎未能造成破坏,但出于安全方面的考虑,育碧还是采取了全公司范围内的密码重置措施,以防发生其它意外。在此期间,育碧暂停了部分服务,但坚称没有玩家数据受到损害。截止发稿时,该公司旗下所有游戏和服...
据TechCrunch报道,红十字国际委员会(ICRC)最近遭到网络攻击,超过51.5万名“高危人群”的数据被泄露,这很可能是国家支持的黑客所为。在周三发布的更新中,红十字国际委员会证实,最初的入侵可以追溯到2021年11月9日,即在1月18日攻击被披露之前的两个月,并补充说,其分析表明,入侵是对其...
由周四发布的“网络垃圾”(Webspam)报告可知,谷歌搜索在 2021 年过滤的垃圾网站数量、竟是 2020 年的六倍。据悉,作为 Alphabet 旗下子公司,Google 有一套名为 SpamBrian 的人工智能垃圾过滤系统,并且可在超过 99% 情况下实现“不受垃圾所困扰”(spam-fr...
BlackMatter勒索软件团伙袭击了爱荷华州的一家农业企业“新合作社”,并要求590万美元的赎金。 周一,几名安全研究人员最先关注了对这次黑客攻击事件,该公司也坦诚自己遭到了网络攻击,并相应地关闭了自己的系统。这是继5月份REvil团伙对JBS发起勒索软件攻击之后,对农业行业的又一次重大打击。研...