恶意软件Trickbot, Emotet使用新型冠状病毒的新闻来逃避检测
TrickBot 和 Emotet 木马开始试图通过添加新型冠状病毒的新闻服故事逃避基于人工智能和机器学习的安全软件。在之前的钓鱼活动和其他攻击中,攻击者通常利用一种叫做加密器(Crypter)的程序来混淆或者加密恶意代码。这样做是希望可以让恶意软件看起来无害进而达到完全免杀的效果。这种做法对特别适用于对抗基于人工智能或机器学习的安全软件。
TrickBot 和 Emotet 木马开始试图通过添加新型冠状病毒的新闻服故事逃避基于人工智能和机器学习的安全软件。
在之前的钓鱼活动和其他攻击中,攻击者通常利用一种叫做加密器(Crypter)的程序来混淆或者加密恶意代码。
这样做是希望可以让恶意软件看起来无害进而达到完全免杀的效果。
这种做法对特别适用于对抗基于人工智能或机器学习的安全软件。
TrickBot, Emotet使用新冠新闻中的文字
2020年1月,TrickBot和Emotet的加密器被发现使用特朗普总统弹劾案的新闻文字。
这周,BleepingComputer发现TrickBot和Emotet的加密器转向了关于新冠全球流行的新闻。
例如,被BleepingComputer发现的几份TrickBot样本使用了一段CNN新闻的文字作为恶意软件的文件描述。我们同时也观测到了一个Emotet样本,使用CNN的新闻作为它的文件信息。这些信息被显示在恶意软件的文件属性中,如下图所示。
目前尚不清楚使用这些文字是否会对于攻击者有任何帮助,但是来自SentinelLabs的负责人Vitali Kremez认为这样有助于对抗基于AI/ML的安全引擎。
“总的来说,恶意软件的加密器使用关于新冠的内容,这样利用公共新闻作为一种对抗某些机器学习中静态文件解析器的方法。这些‘善意软件’字符串添加技术使得犯罪分子的加密器可以创建加密的二进制文件,从而可以绕过某些杀毒产品的AI/ML引擎,像Cylance绕过方法所证明的那样。“ Kermez在回复BleepingComputer的邮件中说。
自爆发以来,冠状病毒(COVID-19)作为恶意软件攻击的一部分急剧增加,包括新型的钓鱼诈骗,勒索软件,和其他恶意软件。
每个人都应该留意他们收到的所有电子邮件,特别是那些关于新冠的不清自来的附件。
3月18日更新:MalwareHunterTeam告诉我们(BleepingComputer),这些变化开始于一个月之前。
在之前的钓鱼活动和其他攻击中,攻击者通常利用一种叫做加密器(Crypter)的程序来混淆或者加密恶意代码。
这样做是希望可以让恶意软件看起来无害进而达到完全免杀的效果。
这种做法对特别适用于对抗基于人工智能或机器学习的安全软件。
TrickBot, Emotet使用新冠新闻中的文字
2020年1月,TrickBot和Emotet的加密器被发现使用特朗普总统弹劾案的新闻文字。
这周,BleepingComputer发现TrickBot和Emotet的加密器转向了关于新冠全球流行的新闻。
例如,被BleepingComputer发现的几份TrickBot样本使用了一段CNN新闻的文字作为恶意软件的文件描述。
Copyright passengers were sent to government quarantine centers
Product The restrictions will ban travel to the US from 26 European countries
Description Singapore has 187 confirmed cases of the virus
Original Name Just because someone who had the coronavirus
Internal Name Just this week, the Grand Princess cruise ship docked
File Version 1.0.0.1 Copyright different times than the WHO
Product The spike is partly due to a broader definition
Description These numbers are cumulative since Jan. 21 and include people with travel history to China
Original Name n Wednesday, China reported far fewer cases of the novel coronavirus
Internal Name Two California cases and the Texas case are among evacuees from China
File Version 1, 0, 0, 1目前尚不清楚使用这些文字是否会对于攻击者有任何帮助,但是来自SentinelLabs的负责人Vitali Kremez认为这样有助于对抗基于AI/ML的安全引擎。
“总的来说,恶意软件的加密器使用关于新冠的内容,这样利用公共新闻作为一种对抗某些机器学习中静态文件解析器的方法。这些‘善意软件’字符串添加技术使得犯罪分子的加密器可以创建加密的二进制文件,从而可以绕过某些杀毒产品的AI/ML引擎,像Cylance绕过方法所证明的那样。“ Kermez在回复BleepingComputer的邮件中说。
自爆发以来,冠状病毒(COVID-19)作为恶意软件攻击的一部分急剧增加,包括新型的钓鱼诈骗,勒索软件,和其他恶意软件。
每个人都应该留意他们收到的所有电子邮件,特别是那些关于新冠的不清自来的附件。
3月18日更新:MalwareHunterTeam告诉我们(BleepingComputer),这些变化开始于一个月之前。
关于作者
评论9次
真的看不懂了~
要是有效果的话真是个玄学问题了...
虽然不是很明白, 但是总感觉哪里不对
喵?没想到表哥们对这个帖子还很有兴趣... 我的理解是某些AI/ML的算法里,利用了软件的介绍,根据软件介绍及其他的内容,对软件性质进行判定。加入了新冠的介绍之后,可能让算法计算得到的相关性xi数或最终结果更趋向于“goodware”,这样来对抗基于AI/ML的安全软件。 不过个人观点觉得这个还是有点牵强的,难道其他的特征值是吃干饭的么... 欢迎各位师傅们一起讨论~
可能资料库中把 新冠病毒 判断 不等于计算机病毒 然后看到有 新冠病毒 就跳过… 我太天真了 哈哈
不明觉厉啊
这是不是只是用来迷惑用户的,,,ai不可能看到新冠病毒就不把它当计算机病毒了吧
不太理解 新冠肺炎跟ai判定恶意代码的关xi
用美国的那个流感啊。肯定是全球免杀。。。