Gootkit及REvil恶意软件威胁

2020年12月14日, 国内信息网络安全公司江民报道了Gootkit及REvil恶意软件威胁。Gootkit是一个功能强大的银行木马，自2014年起就存在了，并且具有许多功能，例如旨在窃取与财务相关的信息的按键或视频记录。 在最新的活动中，攻击者通过使用诱饵论坛模板来诱骗用户下载恶意文件，从而依靠受到攻击的网站对用户进行社交工程。在分析复杂的恶意软件加载程序时，研究人员发现受害者会收到Gootkit本身，或者在某些情况下会收到REvil勒索软件。在对犯罪基础设施进行检查之后，决定是否提供一个有效载荷。在研究人员的测试中，他们观察到了两种编码方式。在其中一种格式中，PE存储为Base64编码的字符串，而在另一种格式中存储为十六进制字符串，通过用模式替换特定的数字来模糊处理。有效载荷通常存储为注册表项列表，但是研究人员还观察到了一种变体，其中类似的内容被写入TXT文件中。将PE文件编码为模糊处理的十六进制字符串的变体，在分析的案例中，整个流程导致了REvil勒索软件的执行。