探秘新型勒索软件“PureLocker”,已被多个黑客组织用于发起攻击(2)
时间:2023-02-01 13:19 来源:网络整理 作者:采集插件 点击:次
完成加密后,PureLocker会在用户桌面上留下一个名为“YOUR_FILES.txt”的赎金票据。
对代码的分析表明,PureLocker与Cobalt Gang在其攻击链中使用的特定组件存在代码重叠——“more_eggs”JScript后门(也称为“SpicyOmelette”)的加载器组件。 不仅如此,“more_eggs”还被其他两个黑客组织使用过,包括黑客组织FIN6。 研究人员再将PureLocker与最近的“more_eggs”加载器组件样本进行对比后发现,它们极有可能是同一伙人创建的,因为它们存在很多相似之处: COM Server DLL组件都是使用PureBasic编写的; 载入有效载荷前,函数和代码几乎相同,且使用的是相同的逃避和反分析方法; 相同的字符串编码和解码方法。
PureLocker并不是一种常规的勒索软件,它没有试图感染尽可能多的受害者,而是尽可能地隐藏其意图和功能。用于实现逃避和反分析的代码似乎是直接从“more_eggs”加载器组件中复制过来的,这使得它能够避开自动分析系统而不被发现。 由于PureLocker是作为一种恶意软件即服务(MaaS)出售的,基于目前掌握的线索,还很难判定它是出自Cobalt Gang或FIN6,还是一个新的黑客组织之手。 (责任编辑:admin) |
- 上一篇:第四次全国经济普查
- 下一篇:如何追踪对方微信聊天记录(掌握3个查询步骤)