Gootkit及REvil恶意软件威胁
2020年12月14日, 国内信息网络安全公司江民报道了Gootkit及REvil恶意软件威胁。Gootkit是一个功能强大的银行木马,自2014年起就存在了,并且具有许多功能,例如旨在窃取与财务相关的信息的按键或视频记录。 在最新的活动中,攻击者通过使用诱饵论坛模板来诱骗用户下载恶意文件,从而依靠受到攻击的网站对用户进行社交工程。在分析复杂的恶意软件加载程序时,研究人员发现受害者会收到Gootkit本身,或者在某些情况下会收到REvil勒索软件。在对犯罪基础设施进行检查之后,决定是否提供一个有效载荷。在研究人员的测试中,他们观察到了两种编码方式。在其中一种格式中,PE存储为Base64编码的字符串,而在另一种格式中存储为十六进制字符串,通过用模式替换特定的数字来模糊处理。有效载荷通常存储为注册表项列表,但是研究人员还观察到了一种变体,其中类似的内容被写入TXT文件中。将PE文件编码为模糊处理的十六进制字符串的变体,在分析的案例中,整个流程导致了REvil勒索软件的执行。