威胁参与者正在滥用Microsoft Build Engine(MSBuild),以无目标地在目标Windows系统上传递远程访问木马和窃取密码的恶意软件。
据网络安全公司Anomali的研究人员周四表示,正在进行的这项活动是在上个月开始的,并补充说,恶意构建文件嵌入了编码后的可执行文件和可部署后门程序的shellcode ,从而使对手能够控制受害者的机器并窃取。敏感信息。
MSBuild是Microsoft开发的用于.NET和Visual Studio的开源构建工具,可用于编译源代码,打包,测试和部署应用程序。
使用MSBuild无文件损坏计算机时,其想法是保持监视和阻止,因为这种恶意软件利用合法的应用程序将攻击代码加载到内存中,从而在系统上没有感染的痕迹,并为攻击者提供了攻击的机会。高度隐身。
在撰写本文时,只有两个安全供应商将其中一个MSBuild .proj文件(“ vwnfmo.lnk ”)标记为恶意,而在4月18日上传到VirusTotal的第二个示例(“ 72214c84e2.proj ”)仍然未被每个反恶意软件检测到引擎。发现由Anomali分析的大多数样品都提供了Remcos RAT,还有一些还提供了Quasar RAT和RedLine Stealer。
一旦安装了Remcos(又名“远程控制和监视”软件),便可以授予对远程对手的完全访问权限,其功能范围从捕获击键到执行任意命令以及录制麦克风和网络摄像头,而Quasar是基于开源.NET的RAT功能键盘记录,密码窃取等等。顾名思义,Redline Stealer是一种商品恶意软件,除了窃取与加密货币应用程序关联的密码和钱包之外,还从浏览器,VPN和消息传递客户端中获取凭据。
异常研究人员塔拉·古尔德(Tara Gould)和盖奇·梅尔(Tage Gould)说:“这场运动背后的威胁行动者使用无文件传递作为绕过安全措施的一种方式,行动者利用此技术来达到各种目标和动机。“这项运动突出表明,仅依靠防病毒软件不足以实现网络防御,并且使用合法代码将恶意软件隐藏在防病毒技术中是有效的并且呈指数级增长。”
*编译:Domino
*来自:thehackernews