LodaRAT 恶意软件以采用更新功能的新变种重新出现

2022-11-19 00:12:56 0 345

LodaRAT恶意软件已经重新出现,新的变种与其他复杂的恶意软件(如RedLine Stealer和Neshta)一起部署。

LodaRAT恶意软件已经重新出现,新的变种与其他复杂的恶意软件(如RedLine Stealer和Neshta)一起部署。

     易于访问其源代码使LodaRAT成为任何对其功能感兴趣的威胁行为者的有吸引力的工具,”思科Talos研究员Chris Neal在周四发表的一篇文章中表示。

     除了与其他恶意软件家族一起丢弃之外,还观察到LodaRAT是通过另一种名为Venom RAT的商品木马的以前未知的变种传递的,该木马代号为S500。
     基于AutoIT的恶意软件LodaRAT(又名Nymeria)归因于一个名为Kasablanca的组织,能够从受感染的机器中收集敏感信息。
    2021 年 2 月,该恶意软件的Android 版本出现,作为威胁行为者扩大攻击面的一种方式。然后在 2022 年 9 月,Zscaler ThreatLabz 发现了一种新的交付机制,该机制涉及使用名为Prynt Stealer 的信息窃取器。

      思科Talos的最新发现记录了LodaRAT的改变变种,这些变种已在野外检测到,具有更新的功能,主要使其能够扩散到每个连接的可移动存储设备并检测正在运行的防病毒进程。

      改进后的实现也被认为是无效的,因为它搜索与不同网络安全供应商关联的 30 个不同进程名称的显式列表,这意味着不会检测到未包含在搜索条件中的解决方案。

     此列表中还包括已停产的安全软件,例如Prevx,ByteHero和Norman Virus Control,这表明这可能是威胁行为者试图标记运行旧版本Windows的系统或虚拟机。
对捕获的工件的分析进一步揭示了使用更有效的方法删除非功能性代码和使用字符串混淆。

     LodaRAT与Neshta和RedLine Stealer的捆绑也是一个谜,尽管人们怀疑“LodaRAT被攻击者首选执行特定功能”。

     “在LodaRAT的生命周期中,植入物经历了许多变化并继续发展,”研究人员说。“虽然其中一些变化似乎纯粹是为了提高速度和效率,或者减小文件大小,但一些变化使Loda成为更强大的恶意软件。

关于作者

评论0次

要评论?请先  登录  或  注册