一個規(guī)模巨大的惡意軟件活動(可能由同一組織運行)正在使用名為“WEXTRACT.EXE.MUI”的人工嵌套文件進行分發(fā)。
全球范圍內有超過50,000個文件采用這種方法進行分發(fā),涉及的惡意軟件包括Redline、RisePro和Amadey等竊取器和加載器。
一些樣本與東歐網絡犯罪分子相關的自治系統(tǒng)有關,OutPost24的網絡安全研究人員近日檢測到一個新的黑客組織正在同時使用10種惡意軟件攻擊系統(tǒng)。
同時出現(xiàn)10種惡意軟件
“WEXTRACT.EXE.MUI”惡意軟件分發(fā)系統(tǒng)利用嵌套的CAB文件來分發(fā)大量惡意軟件樣本,例如竊取程序和加載程序。
該方法的執(zhí)行序列復雜,會以相反的順序釋放和運行惡意軟件,從而可能導致繞過安全措施。由于加載器可能會下載更多的惡意軟件,因此該技術可能會導致多重感染。
從2023年2月到2024年初,大規(guī)模的惡意軟件分發(fā)活動嵌套了多個惡意軟件家族,例如Redline、Mystic Stealer、RisePro、Amadey和SmokeLoader。
該活動隨著時間的推移而發(fā)展,融合了混淆工具和不同的分發(fā)方法。超過兩千一百個實例的檢查顯示,一些惡意軟件組合可能導致受害者同時感染多種竊取器和加載器。
這表明,此次活動的基礎設施和策略背后有一個單一參與者。
WEXTRACT樣本的分布步驟
分發(fā)名為“Unfurling Hemlock”的惡意軟件的活動很可能從其他參與者那里購買分發(fā)服務。
其最早階段存在于電子郵件附件以及從被黑客入侵或欺詐網站下載的內容中。
該基礎設施主要基于AS 203727,使用獨有IP和共享IP來分發(fā)WEXTRACT和其他惡意軟件。這表明只有一個參與者負責該活動,但將其部分分發(fā)給其他委托人。
該惡意軟件活動使用不同的C2 URL和IP地址,其中一些是WEXTRACT相關惡意軟件所特有的,另一些則是其他活動所共有的。
基礎設施的多樣性支持了這樣的推測:該攻擊者可能受到經濟利益的驅使,提供來自其他活動的樣本。
雖然上傳地點不一定代表實際的感染地點,但感染源遍布多個國家。
如圖所示:
樣本來源
與通常的趨勢不同,這次大規(guī)模惡意軟件攻擊主要針對包括俄羅斯在內的西方機構。此次行動同時啟動了不同類型的惡意軟件,以此增加感染的可能性并提高回報。
盡管現(xiàn)在還不夠完善,但不排除這種“集束炸彈”方法未來仍有可能被威脅分子采用。
因此,安全研究人員建議使用最新的反惡意軟件工具,對打包文件進行分析,并提高用戶警惕,對可疑的電子郵件保持謹慎。