MalVirt加载程序利用.net虚拟化来发送恶意攻击
(资料图)
已经观察到威胁行为者使用恶意攻击来分发虚拟的.net恶意软件加载程序,称为MalVirt。
根据SentinelOne上周四的一份报告,新的加载器利用模糊虚拟化技术来避免被检测。
技术报告中写道:“加载器是在.net中实现的,并使用虚拟化,基于KoiVM虚拟化保护.net应用程序,为了混淆它们的实现和执行。虽然在黑客工具和破解中很流行,但KoiVM虚拟化的使用并不经常被视为网络犯罪威胁者使用的混淆方法。”
在技术文章中,该公司的高级威胁研究员Aleksandar Milenkoski还解释说,MalVirt加载程序正在分发Formbook家族的恶意软件。
SentinelOne在报告中写道:“在MalVirt加载器分发的有效载荷中,我们发现了Formbook家族的infostealer恶意软件,这是撰写本文时正在进行的活动的一部分。”
从技术角度来看,Formbook(及其更新版本称为XLoader)是一种具有多个功能的信息制造恶意软件,包括键盘记录、屏幕截图盗窃、网络和其他凭证盗窃,以及部署其他恶意软件工具。
Milenkoski写道:“例如,XLoader的标志之一是它对C2流量的复杂伪装。举例来说,为了隐藏真实的C2流量并逃避网络检测,观察到恶意软件向位于不同合法托管提供商(如Azure、Tucows、Choopa和Namecheap)的随机诱饵C2服务器发送信标。”
SentinelOne安全研究员还表示,虽然Formbook和XLoader在过去曾通过网络钓鱼电子邮件和垃圾邮件通过启用宏的Office文档传播,但新的MalVirt活动暗示,这类恶意软件正在转向通过恶意广告传播。
Milenkoski解释说:“作为对微软在来自互联网的文档中默认阻止Office宏的回应,威胁行为者已经转向了替代的恶意软件分发方法,最近是恶意软件发布。考虑到威胁行为者可以通过恶意广告接触到的庞大受众群体,我们预计恶意软件将继续使用这种方法传播。”
在其他虚拟化新闻中,Sysdig最近的一份报告表明,87%的容器映像受到高度或严重漏洞的影响。
