以前没有证件的恶意软件下载器在网上诱骗攻击中被发现,以部署凭据窃取程序和其他恶意有效载荷。
据说该恶意软件“ Saint Bot ”于2021年1月首次出现在现场,表明它正在积极开发中。
“Saint Bot是最近才出现的一个下载程序,它的势头正在慢慢增强。Malwarebytes的威胁情报分析师Aleksandra“Hasherezade”Doniec说:“人们曾看到它丢弃了盗贼(即Taurus Stealer)或更多的装载机(例如),但它的设计允许(它)利用它来分发任何类型的恶意软件。
“此外,Saint Bot采用了各种各样的技术,尽管它们不是新颖的,但考虑到其相对较新的外观,则表明其具有一定的复杂性。”
网络安全公司分析的感染链始于包含嵌入式ZIP文件(“ bitcoin.zip”)的网络钓鱼电子邮件,该电子邮件实际上是一个以.LNK快捷方式为幌子的PowerShell脚本,声称是比特币钱包。然后,该PowerShell脚本下载下一阶段的恶意软件WindowsUpdate.exe可执行文件,该文件又删除了另一个可执行文件(InstallUtil.exe),该文件负责下载另外两个名为def.exe和putty.exe的可执行文件。
前者是负责禁用Windows Defender的批处理脚本,而putty.exe包含恶意负载,该负载最终会连接到命令和控制(C2)服务器以进行进一步利用。
感染的每个阶段都存在混淆,再加上恶意软件采用的反分析技术,使恶意软件操作员可以在不引起注意的情况下利用其安装的设备。
除了执行“自我防御检查”以验证调试器或虚拟环境的存在之外,Saint Bot还设计为不在罗马尼亚执行,并且不选择独立国家联合体(CIS)内的国家/地区,其中包括亚美尼亚,白俄罗斯,哈萨克斯坦,摩尔多瓦,俄罗斯和乌克兰。
恶意软件支持的命令列表包括:
- 下载并执行从C2服务器检索到的其他有效负载
- 更新bot恶意软件,以及
- 从受感染的计算机上卸载自身
尽管这些功能似乎很小,但Saint Bot可以充当其他恶意软件的下载器这一事实使它变得足够危险。
有趣的是,有效负载本身是从托管在Discord上的文件中获取的,这种策略在威胁参与者中变得越来越普遍,威胁参与者正在滥用此类平台的合法功能进行C2通信,逃避安全性并传播恶意软件。
“当文件在Discord CDN中上载和存储时,无论是否已安装Discord,任何系统都可以使用硬编码的CDN URL对其进行访问,而只需浏览到托管内容的CDN URL即可。” Talos在本周早些时候的一项分析中披露,从而使Discord和Slack之类的软件成为了托管恶意内容的有利可图的目标。
Hasherezade说:“ Saint Bot还是另一个小型下载器。” “” [它不如SmokeLoader成熟,但它是一个相当新的东西,目前正在积极开发中。作者似乎对恶意软件设计有所了解,这可以通过广泛使用的技术来了解。但是,所有已部署的技术都是众所周知的并且相当标准,并且[到目前为止]还没有显示出太多的创造力。”
*编译:Domino
*来自:thehackernews