通过AI生成的视频分发了难以检测的恶意软件加载程序

news2024/11/15 8:25:41

 

安全研究人员警告说,一种新的恶意软件加载程序被用作 Aurora 信息窃取程序感染链的一部分。

加载程序使用反虚拟机 (VM) 和不寻常的编译技术,这些技术似乎使其非常成功地避免了安全解决方案的检测。

Aurora 信息窃取器是用 Go 编写的,作为恶意软件即服务平台运行,在俄语网络犯罪论坛上做广告。

它在去年年底开始受到网络犯罪分子的欢迎,因为它是模块化的,除了从多个网络浏览器、加密货币钱包和本地窃取数据和凭据的核心功能外,还可以用作恶意软件下载器来部署额外的有效负载。

网络罪犯以多种方式分发 Aurora,但最近的趋势是以安装破解软件和游戏黑客的教程形式发布 AI 生成的视频。

这是多个信息窃取程序的更普遍的分布趋势,通常涉及侵入现有 YouTube 帐户并立即发布一批五六个流氓视频。

YouTube 帐户使用旧数据泄露者的凭据接管或由信息窃取程序本身收集。这些视频是使用专门的基于人工智能的视频平台(如 D-ID 或 Synthesia)生成的,涉及人物角色通过脚本并告诉用户从描述中的链接下载软件。

攻击者还通过向视频添加大量标签来使用搜索引擎优化 (SEO) 技术,使其覆盖更广泛的受众。

安全公司 Morphisec 的研究人员最近调查了几个导致 Aurora 感染的 YouTube 活动。

然而,感染链中的第一步是一个新的恶意软件加载程序,他们将其命名为“in2al5d p3in4er”,该程序以在其代码中用作解密密钥的字符串命名。

p3in4er 加载器是可执行文件,用户可以从 YouTube 教程视频的流氓描述中发布的网站下载。

这些网站是通过一种服务生成的,该服务可以创建合法网站的克隆,使用所有品牌元素和应用程序徽标和图标来提高它们的可信度。

P3in4er 在 VirusTotal 上的检测率异常低,特别擅长规避在虚拟机或沙箱中执行文件以观察其行为的解决方案。这是因为恶意可执行文件使用 dxgi.dll 库的 CreateDXGIFactory 函数来提取系统上存在的显卡的供应商 ID。

然后代码检查这些供应商 ID 是否与 Nvidia、AMD 或 Intel 匹配,如果不匹配,代码将停止执行。换句话说,这本质上是一种检查系统是否有物理显卡的方法,因为虚拟机和沙箱通常没有。

如果检查通过,恶意软件将使用进程挖空技术将恶意代码块注入 sihost.exe(微软的 Shell Infrastructure Host)。

在注入过程中,所有加载程序样本动态解析必要的 Win API,并使用 XOR 密钥解密这些名称:in2al5d p3in4er(无效打印机)。

最后,这个加载器的另一个不寻常的特征是它是使用 Embarcadero RAD Studio 生成的,这是一个用于编写本机跨平台应用程序的集成开发环境。各种样本表明创作者正在试验 RAD Studio 的编译选项。

那些在 VirusTotal 上检测率最低的病毒是使用‘BCC64.exe’编译的,这是一种来自 Embarcadero 的新的基于 Clang 的 C++ 编译器。

该编译器使用不同的代码库,例如‘标准库’(Dinkumware) 和‘运行时库’(compiler-rt),并生成优化代码,更改入口点和执行流程。这破坏了安全供应商的指标,例如签名由恶意/可疑代码块组成。

Morphisec 报告包含文件哈希和其他妥协指标。尽管这个加载器目前的检测率很低,但抵御此类攻击的第一道防线并不是一开始就落入社会工程学的陷阱。

公司应该培训员工如何发现不寻常的 URL 或虚假网站,当然,永远不要在他们的计算机上下载破解软件或游戏黑客,即使他们使用个人计算机工作。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/447041.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

高速下载Arxiv论文的解决方案

大家好,我是爱编程的喵喵。双985硕士毕业,现担任全栈工程师一职,热衷于将数据思维应用到工作与生活中。从事机器学习以及相关的前后端开发工作。曾在阿里云、科大讯飞、CCF等比赛获得多次Top名次。现为CSDN博客专家、人工智能领域优质创作者。喜欢通过博客创作的方式对所学的…

【微服务笔记19】微服务组件之Nacos注册中心基础环境搭建

这篇文章,主要介绍微服务组件之Nacos注册中心基础环境搭建。 目录 一、Nacos注册中心 1.1、Nacos注册中心 1.2、搭建NacosServer服务端 (1)下载Nacos Server服务端工程 (2)修改配置信息 (3&#xff0…

【Hello Network】网络编程套接字(三)

作者:小萌新 专栏:网络 作者简介:大二学生 希望能和大家一起进步 本篇博客简介:简单介绍下各种类型的Tcp协议 各种类型Tcp服务器 多进程版的TCP网络程序捕捉SIGCHLD信号让孙子进程执行任务 多线程TCP网络程序线程池版多线程TCP网络…

Elasticsearch学习,请先看这篇!

目录 一、初始elasticsearch 1、概述 简介 发展 2、倒排索引 3、基本概念 文档 索引 Mysql和es的区别 4、分词器 初始分词器 Ik分词器-扩展词库 二、索引库操作 1、mapper属性 2、创建索引库 3、查询、删除索引库 三、文档操作 1、新增文档 2、查询、删除文档…

计算机网络科普

文章目录 1、集线器2、CSMA/CD协议3、交换机3.1 交换机的桥接 4、 路由器5、 路由表6、IP地址7、MAC地址8、ARP协议9、关于网络层次模型10、路由器 1、集线器 计算机之间的相互通信,你会怎么设计? 如果是两台计算机,之间拉一条线,…

ClickHouse性能优化

目录 1 Explain查看执行计划优化sql1.1 基本语法1.2 案例实操1.2.1 查看 PLAIN1.2.2 AST 语法树1.2.3 SYNTAX 语法优化1.2.4 查看 PIPELINE 2 ClickHouse建表优化2.1 数据类型2.1.1 时间字段的类型2.1.2 空值存储类型 2.2 分区和索引2.3 表参数2.4 写入和删除优化2.5 常见配置2…

分享一些提升效率的小工具

1、 IObit Uninstaller IObit Uninstaller是一款简单专业的卸载工具,可以帮我们卸载电脑中顽固难卸的软件和浏览器插件,支持强制一键卸载和文件粉碎功能。 除了卸载软件,它还可以自动帮我们检测软件安装、检测软件更新、查看工具栏和插件。 …

IDEA22.3.3的三个常用经常遇到的配置问题

1、期待效果:【打开iDEA的时候,让开发者选择需要打开的项目】 设置如下 2、期待效果:配置默认的Maven,避免每次新建项目后,都需要去修改Maven配置 同理,修改默认的java版本和自己本地java环境一致 3、新建…

数据库SQL语句优化技巧

当今世界,数据量不断增长,数据库的使用变得越来越普遍。虽然数据库提供了很多强大的功能,但是它们也需要被优化以确保它们的性能得到最大化。在本篇博客中,我们将探讨SQL语句优化的几种技巧,这些技巧可以帮助您提高数据…

零、网络基础概述(TCP/IP模型、端口、网关、DNS、ARP、IP编址与子网划分、UDP、VRP)

文章目录 前言一、网络基础1、TCP/IP模型2、端口的作用:3、MAC 地址4、网关(gateway)5、域名解析服务(DNS)6、TCP端口、UDP端口区别:7、交换机与路由器 二、ARP 理论1、定义2、查看ARP缓存3、ARP 报文种类&…

Linux基础——远程访问及控制(SSH)

Linux基础——远程访问及控制 一、OpenSSH服务器二、sshd_config配置文件三、SSH服务端1.查询版本—— ssh -V2.SSH远程登录3.监听端口修改4.设置黑白名单5.远程复制——scp6.安全性传输——sftp 四、SSH服务的验证1.SSH服务的两种验证方式密码验证密钥验证 3.公钥与私钥的关系…

ORA-04021:等待锁定对象时发生超时

现场人员反馈问题,drop表报错,如下图 是个rac环境,处理过程 1、2个节点上查看锁表,没任何输出 SYSorcl2> select name from v$db_object_cache where ownerUSR_DATAI and type in(PROCEDURE,FUNCTION) and locks > 0 and …

软件版本号

版本号 上图是在MVN仓库中随便找的一个依赖的历 史版本 我们可以发现版本号一般是由 数字英文 组成 数字 一般大家都会看到1.x或者1.xx.xxx.Beta这种版本号,前面是数字 以 1.xx.xxx 为例 1是major号,一般重大更新会更新major号.xx或者.xx.xxx称为min…

arduino学习笔记1

一.hello word实验 1.基础结构 void setup() {// put your setup code here, to run once://设置初始状态,比如引脚、波特率等 }void loop() {// put your main code here, to run repeatedly://相当于main函数,但一直循环 }2.Serial(串行通…

像素是什么

像素分为设备像素和设备无关像素。 下面说说来龙去脉。 一、显示器 显示图像的电子设备。 (一)显示器种类 1.LCD LCD(Liquid crystal display),是液体晶体显示,也就是液晶显示器,LCD具有功耗低…

谷歌 Google Cloud 安装 NodeJS服务环境

目录 1. 安装 wget2. 安装 Node2.1 下载安装包2.2 安装包解压2.3 3 安装全局包并创建软链接 3. 安装 git 创建实例略过,点击 SSH 按钮, 在浏览器中打开SSH客户端 注: 本文基于 CentOS 9服务器操作系统 为了方便后面工具插件的顺利安装&a…

用PHP实现经典的4种排序算法

文章目录 一、前言二、4种排序算法2.1 快速排序2.2 插入排序2.3 选择排序2.4 冒泡排序 总结 一、前言 排序算法是一种将一组无序的数据元素按照某个规则(大小、字母序等)排列成有序的序列的算法。常见的排序算法包括冒泡排序、选择排序、插入排序、快速排序、归并排序等。 1.冒…

Python批量梯度下降法的举例

梯度下降法 梯度下降法是一种常用的优化算法,用于求解目标函数的最小值。其基本思想是,通过不断地朝着函数梯度下降的方向更新参数,直到找到函数的最小值。 具体来说,假设我们有一个可导的目标函数 f ( x ) f(x) f(x)&#xff…

项目五:使用路由器构建园区网

使用路由器构建园区网 1、新建拓扑2、配置交换机与主机3、配置路由交换机并进行通信4、通信测试5、配置路由器并进行通信测试1、配置路由器R-12、配置路由器R-2、R-33、通信测试 1、新建拓扑 依次添加四台主机,两台交换机,型号为S3700。两台路由交换机&…

体制内干部职务职级及领导干部排序对应关系大全

请点击↑关注、收藏,本博客免费为你获取精彩知识分享!有惊喜哟!! 一、公务员级别对应关系 (一)综合管理公务员职务与职级 1、职务分为10级,包括:正国职、副国职、正部职、副部职、正…