恶意软件Trickbot, Emotet使用新型冠状病毒的新闻来逃避检测

2020-03-20 05:23:44 9 12189

TrickBot 和 Emotet 木马开始试图通过添加新型冠状病毒的新闻服故事逃避基于人工智能和机器学习的安全软件。在之前的钓鱼活动和其他攻击中,攻击者通常利用一种叫做加密器(Crypter)的程序来混淆或者加密恶意代码。这样做是希望可以让恶意软件看起来无害进而达到完全免杀的效果。这种做法对特别适用于对抗基于人工智能或机器学习的安全软件。

TrickBot 和 Emotet 木马开始试图通过添加新型冠状病毒的新闻服故事逃避基于人工智能和机器学习的安全软件。

在之前的钓鱼活动和其他攻击中,攻击者通常利用一种叫做加密器(Crypter)的程序来混淆或者加密恶意代码。

这样做是希望可以让恶意软件看起来无害进而达到完全免杀的效果。

这种做法对特别适用于对抗基于人工智能或机器学习的安全软件。

TrickBot, Emotet使用新冠新闻中的文字

2020年1月,TrickBot和Emotet的加密器被发现使用特朗普总统弹劾案的新闻文字。

这周,BleepingComputer发现TrickBot和Emotet的加密器转向了关于新冠全球流行的新闻。

例如,被BleepingComputer发现的几份TrickBot样本使用了一段CNN新闻的文字作为恶意软件的文件描述。
Copyright passengers were sent to government quarantine centers
Product The restrictions will ban travel to the US from 26 European countries
Description Singapore has 187 confirmed cases of the virus
Original Name Just because someone who had the coronavirus
Internal Name Just this week, the Grand Princess cruise ship docked
File Version 1.0.0.1
我们同时也观测到了一个Emotet样本,使用CNN的新闻作为它的文件信息。
Copyright        different times than the WHO
Product        The spike is partly due to a broader definition
Description        These numbers are cumulative since Jan. 21 and include people with travel history to China
Original Name        n Wednesday, China reported far fewer cases of the novel coronavirus
Internal Name        Two California cases and the Texas case are among evacuees from China
File Version        1, 0, 0, 1
这些信息被显示在恶意软件的文件属性中,如下图所示。



目前尚不清楚使用这些文字是否会对于攻击者有任何帮助,但是来自SentinelLabs的负责人Vitali Kremez认为这样有助于对抗基于AI/ML的安全引擎。

“总的来说,恶意软件的加密器使用关于新冠的内容,这样利用公共新闻作为一种对抗某些机器学习中静态文件解析器的方法。这些‘善意软件’字符串添加技术使得犯罪分子的加密器可以创建加密的二进制文件,从而可以绕过某些杀毒产品的AI/ML引擎,像Cylance绕过方法所证明的那样。“ Kermez在回复BleepingComputer的邮件中说。

自爆发以来,冠状病毒(COVID-19)作为恶意软件攻击的一部分急剧增加,包括新型的钓鱼诈骗,勒索软件,和其他恶意软件。

每个人都应该留意他们收到的所有电子邮件,特别是那些关于新冠的不清自来的附件。

3月18日更新:MalwareHunterTeam告诉我们(BleepingComputer),这些变化开始于一个月之前。

关于作者

评论9次

要评论?请先  登录  或  注册