网络安全专家检测到一种新的高度规避加载程序,称为 in2al5d p3in4er(读作:无效打印机),用于传播Aurora 信息窃取程序。它针对使用高级反 VM 和反分析方法以避免检测的端点工作站。
关于 in2al5d p3in4er
Morphisec提供了有关 in2al5d p3in4er 内部工作的详细信息,使用 Embarcadero RAD Studio 编译。
攻击者正在使用社会工程技术将 YouTube 作为分发渠道,并将观众引导?至通过 SEO 中毒推广的虚假网站以传播窃取者。
加载程序仅针对选定品牌的显卡。感染后,它会查询受感染系统显卡的供应商 ID,并将其与一组列入白名单的供应商 ID(NVIDIA、AMD 和英特尔)进行比较。如果值不匹配,加载程序将终止。
加载器解密最终的有效载荷,并使用进程挖空将其插入到真正的进程中。一些样本分配内存用于写入解密的有效负载,以便从那里插入它。
规避战术
使用Embarcadero RAD Studio允许攻击者为多个平台创建可执行文件,具有多个配置选项。
这些样本在 VirusTotal 上进行了测试,检测率最低的样本使用 Embarcadero 的编译器 (BCC64[.]exe) 进行编译,确保安全规避。
此编译器使用与默认编译器(运行时库和标准库)不同的代码库,并创建优化代码来更改加载程序的执行流程和入口点。
这破坏了安全供应商的指标,例如从恶意代码块中收集的签名,并使使用恶意软件诊断工具进行分析变得具有挑战性。
结论
in2al5d p3in4er 加载程序背后的攻击者正在使用广泛使用的社会工程工具,以及多种逃避策略来绕过基本的安全检查。因此,重要的是向员工提供有关如何发现社会工程活动的培训。此外,使用防火墙和端点安全解决方案来确保只有真正的 URL 才能在企业网络中使用。
