恶意软件BluStealer新变种利用系统调用逃避安全检测

《Minerva》2022年5月3日报道,恶意软件BluStealer新变种新增了利用系统调用逃避安全检测的功能。恶意软件BluStealer于2021年5月被首次发现,曾通过钓鱼邮件进行传播,具有窃取加密货币钱包数据、查找和上传文档文件、使用SMTP和Telegram上传数据等功能。报告称,此次发现的新变种使用了PDF文件图标,旨在诱骗用户点击执行,其植入过程主要分为3个阶段,一是释放rwzhmby.exe、mhxbnyunxz和3amz20m5vs等恶意文件至系统临时文件夹;二是读取并解密mhxbnyunxz文件;三是执行恶意软件BluStealer新变种的加载程序,实现持久化设置、运行环境配置以及加载运行BluStealer新变种等操作。在此过程中,该程序利用Process Hollowing(进程镂空)技术加载运行BluStealer新变种,并将API调用替换为系统调用,进而绕过基于特定API调用进行的安全产品检测。