然而,這可能無法阻止 ZeroFox 最近發現的名為 Kraken 的新殭屍網絡。這是因為 Kraken 只是將自身添加為例外,而不是試圖找到被排除的位置來傳遞有效負載。這是繞過 Windows Defender 掃描的相對簡單有效的方法。
ZeroFox 解釋了它是如何工作的:
在安裝階段,Kraken 會嘗試移動到 %AppData%\Microsoft 文件夾。
[…]
為了保持隱藏狀態,Kraken 運行以下兩個命令:
- powershell -Command Add-MpPreference -ExclusionPath %APPDATA%\Microsoft
- 屬性 +S +H %APPDATA%\Microsoft\
ZeroFox 指出,Kraken 基本上是一種竊取惡意軟件,類似於新發現的類似於 Microsoft Windows 11 的網站。該安全公司補充說,Kraken 的功能現在包括竊取與用戶加密貨幣錢包相關的信息的能力,這讓人想起最近的假 Windows 激活器惡意軟件 KMSPico。
ZeroFox 寫道:
最新添加的功能是能夠從以下位置竊取各種加密貨幣錢包:
- %AppData%\Zcash
- %AppData%\軍械庫
- %AppData%\字節幣
- %AppData%\Electrum\wallets
- %AppData%\Ethereum\keystore
- %AppData%\Exodus\exodus.wallet
- %AppData%\Guarda\Local Storage\leveldb
- %AppData%\atomic\Local Storage\leveldb
- %AppData%\com.liberty.jaxx\IndexedDB\file__0.indexeddb.leveldb
您可以在官方博客上找到有關 Kraken 工作原理的更多詳細信息。
發佈留言