全球警示:新型汉语陷阱恶意软件SquidLoader袭华
时间:2024-06-26
来源:
作者:keke
近日,美国运营商AT&T旗下的一家专注于网络安全的公司LevelBlue对外界发布了一项研究报告,揭示了一款名为SquidLoader的新型恶意软件,主要影响的是简体中文地区的互联网用户。黑客们巧妙地将这款恶意软件伪装成各种看似合法的"产品介绍"文档,如"华为工业级路由器的产品介绍及客户成功案例"以及"黄河水利职业技术学院简章",意图通过欺骗性标题诱使受害者点击。
报告显示,这些看似文档的隐藏可执行文件一旦被激活,会立即向预先设定的远程服务器发起HTTPS请求,然后在用户设备上部署SquidLoader木马。该木马设计精巧,具备高度的反侦查特性。为了混淆视听,黑客使用了已失效的合法证书来欺骗系统,同时在代码中混入了微信、mingw-gcc等应用程序的片段,虽然实际无法执行,但却能干扰安全软件的检测。更为狡猾的是,木马内部采用call或jmp指令跳转到其他功能函数,使得反编译工具在解析时产生错误,增加了破解难度。
报告指出,黑客还在代码中设置了误导性的指令,以及通过堆栈技术使用XOR密钥加密特定字符串,以进一步保护恶意软件的隐蔽性。针对Shell Code的功能函数,他们实施了控制流图(CFG)混淆处理,将原本复杂的流程简化为包含大量switch字符串的无限循环,从而避免常规的安全扫描。
安全专家借此警告公众,应谨慎对待网络上下载的任何文档,以防关键信息泄露。同时,鉴于这类攻击手段的高可复制性,预计未来可能会有更多的黑客尝试采用类似技术。因此,用户应时刻保持警惕,提升网络安全意识,以应对不断演变的网络威胁。