社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
Py学习  »  Git

绕过杀毒软件!GitHub ZIP成为新型恶意软件传播新渠道

看雪学苑 • 2 月前 • 104 次点击  

近日,暴露管理服务提供商Cyderes的研究人员发现一场隐蔽性极强的多阶段恶意软件攻击活动,攻击者借助GitHub ZIP文件分发两种全新恶意软件家族——Direct-Sys Loader(加载器)与CGrabber Stealer(窃取器),成功绕过主流杀毒软件,非法窃取用户密码、加密货币钱包及各类敏感数据。该研究成果由Cyderes旗下精英威胁研究团队Howler Cell独家分享给Hackread.com。


研究显示,此次攻击的入口为通过GitHub用户附件链接分发的ZIP压缩包,其中多次出现名为Eclipsyn.zip的可疑文件。这类压缩包内部包含一款经微软数字签名的合法程序Launcher_x64.exe,攻击者利用DLL侧载技术,将恶意组件伪装成该程序的依赖文件msys-crypto-3.dll,诱使合法程序加载并执行恶意代码,进而启动Direct-Sys Loader加载器,开启攻击的下一阶段。


Direct-Sys Loader启动后,会先执行一系列环境检测操作,以此规避安全监控与分析。该加载器会扫描系统中67种不同的安全工具,并检测是否存在VMware、Hyper-V、VirtualBox等虚拟环境;若发现自身处于研究人员的沙箱环境中,会立即终止运行,避免被逆向分析。值得注意的是,该加载器采用直接系统调用(direct syscalls)方式与操作系统内核直接交互,绕过常规安全钩子对可疑行为的监控,实现静默入侵,隐蔽性极强。


当Direct-Sys Loader确认目标系统无有效防御后,会执行最终载荷CGrabber Stealer,专门负责敏感数据的窃取工作,其窃取范围覆盖数十款应用,针对性极强。

浏览器数据窃取方面,CGrabber可提取Chrome、Edge、Brave、Firefox等主流浏览器中保存的密码、信用卡信息及Cookie数据;在加密货币领域,该窃取器可靶向获取超过150款加密货币应用的私钥,包括MetaMask、Exodus、Coinbase、Binance等主流钱包及交易平台。此外,Telegram、Discord、Steam等通讯与娱乐工具,以及NordVPN、ProtonVPN等VPN服务的用户数据,也会被其非法获取。


研究还发现,CGrabber会执行CIS地域检测(独立国家联合体地区检测),若检测到目标设备位于独联体国家境内,会立即终止运行。研究人员指出,这是威胁 actor 常用的规避策略,目的是避免引起相关地区执法部门的警觉。


此次恶意软件攻击展现出极高的技术严谨性,所有窃取的敏感数据在传输至攻击者服务器前,都会通过ChaCha20加密算法进行加密处理。ChaCha20作为一种高性能流密码,具有较强的抗密码分析能力,可有效防止数据在传输过程中被拦截破解。同时,恶意软件采用X-Auth-Token等自定义HTTP请求头,能够轻松绕过网络过滤规则,进一步提升攻击的隐蔽性和成功率。


针对此次新型攻击,研究人员提醒,用户应提高对GitHub来源ZIP文件的警惕性,切勿随意下载并运行未知来源的压缩包;同时需密切监控系统,及时发现并清理未授权创建的文件夹及可疑文件,降低被入侵风险。


资讯来源:Hackread.com(基于Cyderes公司Howler Cell Threat Research Team研究成果)






球分享

球点赞

球在看

Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/195216