新的Windows恶意软件可能很快会针对Linux,macOS设备

新的Windows恶意软件可能很快会针对Linux,macOS设备

与AridViper跟踪的活动威胁组链接的新发现Windows信息窃取恶意软件显示出迹象,表明它可能被用来感染运行Linux和macOS的计算机。

在调查AridViper活动(也称为沙漠猎鹰和APT-C-23)时发现了这种新木马,称为第42单元PyMICROPSIA,这是 至少讲自2011年以来将阿拉伯语集中在中东目标上的一组阿拉伯语网络间谍。

卡巴斯基实验室全球研究与分析团队(GReAT)称,AridViper主要在巴勒斯坦,埃及和土耳其开展业务,2015年,受害的受害者人数超过3,000 [PDF]。

在代码中发现了新的攻击媒介

虽然PyMICROPSIA是一种基于Python的恶意软件,使用通过PyInstaller生成的Windows二进制文件专门针对Windows系统,但Unit 42还发现了代码片段,表明其创建者可能正在努力添加多平台支持。

“ PyMICROPSIA旨在仅针对Windows操作系统,但是代码包含用于检查其他操作系统(例如’posix’或’darwin’)的有趣代码段,” -Unit 42。

“这是一个有趣的发现,因为我们以前没有目睹过AridViper针对这些操作系统的情况,这可能代表了参与者开始探索的新领域。”

尽管如此,这些检查可能是由恶意软件的开发人员在从其他“项目”粘贴粘贴代码时引入的,并且很可能会在以后的PyMICROPSIA木马版本中删除。

Linux macOS定位
资料来源:第42单元

数据盗窃和其他有效载荷的交付

当涉及到该木马的功能时,Unit 42在分析从受攻击者的命令和控制(C2)服务器下载的受感染设备和有效载荷(不是基于Python)上发现的恶意软件样本时,已经挖掘出许多功能。

信息窃取和控制功能的列表包括数据盗窃,设备控制和其他有效载荷传递功能。

功能的完整列表包括但不限于:

  • 文件上传。
  • 有效负载下载和执行。
  • 浏览器凭证窃取。清除浏览历史记录和配置文件。
  • 截屏。
  • 键盘记录。
  • 压缩RAR文件以获取被盗信息。
  • 收集过程信息并终止过程。
  • 收集文件列表信息。
  • 删除文件。
  • 重新启动机器。
  • 收集Outlook .ost文件。杀死并禁用Outlook进程。
  • 删除,创建,压缩和泄漏文件和文件夹。
  • 从USB驱动器收集信息,包括文件渗透。
  • 声音录制。
  • 执行命令。
发热
资料来源:第42单元

PyMICROPSIA利用Python库的广泛用途,从信息和文件盗用到Windows进程,文件系统和注册表交互。

使用GetAsyncKeyState API实现的木马按键记录功能是它从C2服务器下载的单独有效负载的一部分。

通过在受感染计算机的Windows启动文件夹中删除.LNK快捷方式,下载的有效负载也可用于获得持久性。

但是,PyMICROPSIA也将采用其他持久性方法,包括设置专用注册表项,这些注册表项

将在系统重启后重新启动恶意软件。

根据Unit 42在PyMICROPSIA和AridViper的MICROPSIA恶意软件之间发现的联系,该威胁参与者“保持了非常活跃的开发概况,创建了试图绕过目标防御的新植入物”。

*编译:Domino

*来自:bleepingcomputer