Trickbot Trojan切换到Stealthy Ostap下载器
根据研究人员的说法,操作Tlexbot模块银行银行木匠的三个网络攻击组中的至少一个转换为商品JavaScript下载器来绕过安全控制。
近期大量垃圾邮件的分析通过虚拟化的安全公司溴提供涓滴的涓ti透露使用OSTAP Malware Downloader返回2016年的使用。
该活动使用Microsoft Word 2007启用宏的文档来传递下载器。该文档通常包含VBA(Visual Basic for Applications)宏和JScript。分析的电子邮件和样品被主题为目标业务的采购订单。
由于OSTAP在其他恶意软件活动中使用,研究人员表示,这表明它是一个广泛可供多种威胁演员的商品下载者,包括TrickBot的运营商。
但是,OSTAP的使用标志着从先前的trickbot广告系列使用vba autopen宏触发的混淆命令shell和powershell命令下载有效载荷。
据Alex Holland,Malware分析师在溴利亚姆的Malware分析师的说法,虽然基于JavaScript的下载器的使用不是新的,但OSTAP下载器对于其尺寸,虚拟机检测和反分析措施非常值得注意。
“OSTAP样本在两个不同的公共沙箱中分析了生成的不完整迹线,并且既不下载其各自的涓涓细流有效载荷。此外,在首次上传时,上传到Virustotal的样品的低检测率为11%,表明Ostap在逃避大多数防病毒发动机时有效,“他在博客文章中写道。
下载器是简单的功能,旨在从一个或多个远程服务器检索和运行辅助有效载荷,并且即使在混淆时,也很少超过数百行代码。但溴化的分析表明,最新的OSTAP下载器柜台统一,包含超过34,000行的混淆代码。
Holland表示,历史Trickbot运动表明,他们的运营商似乎更喜欢倾斜的代码混淆,比大多数其他电子犯罪行为者更倾向于绕过检测。
“我们经常看到恶意演员改变他们的工具,以增加成功入侵的机会”亚历克斯·荷兰,溴OSTAP还包括各种措施,旨在防止分析和检查。当TrickBot传递文档打开时,OSTAP将文件名复制到用户的默认Word模板。然而,分析表明,只有在文档关闭时才能运行其余的宏,这是一种防止行为分析的防沙箱测量。下载程序还包括假装Windows脚本主机运行时错误,以劝阻手动检查。
溴能够识别此活动,因为它位于安全堆栈的底部,隔离绕过硬件强制容器中的其他安全工具的威胁。这意味着如果用户点击恶意的内容,则完全包含威胁。
这种方法会产生实时威胁情报,可以在安全堆栈中共享,帮助解决整个防御性基础设施,并确保组织继续前进。
荷兰表示:荷兰表示:“我们经常看到恶意演员改变他们的工具,以增加成功的入侵的机会,特别是用于最初妥协系统的下载者。
“与使用其他解释的脚本语言的下载者相比,OSTAP的侵略性反分析功能和低检测率使其成为寻求下载器的恶意软件运营商的吸引力选择。”