【安全资讯】RiseLoader恶意软件家族再度袭来,威胁加剧

安恒恒脑 2024-12-19 19:06:28 80人浏览

概要:

网络安全领域再度传来警报,Zscaler ThreatLabz发现了一种新型恶意软件家族RiseLoader,该恶意软件专注于下载和执行二级有效载荷。与RisePro相似,RiseLoader被认为是同一黑客组织的作品,标志着恶意软件加载器的演变,尤其是在其高效的交付和执行方面。

主要内容:

RiseLoader首次出现在2024年10月,正值RisePro开发停止不久后。该恶意软件通过复杂的反分析措施来增强隐蔽性,例如使用VMProtect进行样本保护,使逆向工程变得困难。此外,RiseLoader在执行过程中创建了独特的互斥体,以确保每个受感染主机的单次执行。

一旦执行,RiseLoader便与命令与控制(C2)服务器建立通信,采用自定义的基于TCP的二进制协议。它通过硬编码的C2服务器进行连接,成功握手后,服务器发送用于消息加密的XOR密钥。随后,RiseLoader会下载并执行有效载荷,常见的恶意软件包括Vidar和Lumma Stealer。

Zscaler指出,RiseLoader在收集与加密货币相关的信息方面表现活跃,扫描受感染系统中的浏览器扩展和钱包目录,并将数据传输至C2服务器。尽管RiseLoader与PrivateLoader共享有效载荷目标,但其网络协议和行为更接近RisePro,显示出同一黑客组织的持续威胁。
恶意代码 勒索软件 金融 科技公司
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。