您的位置:首页 >科技 >

警告新的恶意软件绕过网络安全措施以启用PC上的攻击

2019-08-05 10:47:05来源:

在Proofpoint的威胁研究人员披露“之前未记录的恶意软件”之后,本周Windows用户又发出了另一个可怕的警告。但是,这个版本有一个转折,这个恶意软件本身并不是攻击,它是一个启动器,隐藏在受感染的计算机上,建立一个代理,其他恶意软件可以用它来管理到PC的流量并执行它们的威胁。

新版恶意软件被其发现者称为SystemBC,它使用SOCKS5代理绕过安全措施,为其他恶意软件创建安全的命令和控制隧道。研究人员强调“像Danabot这样的知名银行特洛伊木马”可能是受益者。

Proofpoint报告称,SystemBC正在通过漏洞利用工具包分发,这些网站可以在用户浏览网页时识别漏洞并植入恶意软件。SystemBC与危险的恶意软件同时被丢弃到目标计算机上,然后它将在恶意软件运行时启用,保护和隐藏来回的流量。研究人员在RIG和Fallout漏洞利用工具包中找到了SystemBC。可以将多个威胁组合到一个活动中的想法并不新鲜,但SystemBC采取的为危险攻击转发流量的方法是一个令人讨厌的转折。

实际上,在研究漏洞攻击工具包时,Proofpoint的研究人员发现了SystemBC。6月4日,该团队正在分析一个Fallout漏洞利用工具包活动,并“观察了以前看不见的代理恶意软件的分发情况。”该团队于6月6日再次看到了新的菌株 - 再次通过辐射活动,这次与Danabot银行特洛伊木马一起。

在进一步的活动中,7月份还有更多的“野外”恶意软件被发现。正是在多个未连接的威胁活动中发现了SystemBC,导致Proofpoint得出结论,SystemBC“很可能在地下市场上销售”。考虑到这一点,研究人员将SystemBC与5月份在地下论坛上发现的一则广告联系起来,以寻找与他们现在发现的相匹配的“socks5反接系统”。

这是一个惊人的发展,Proofpoint将其发现称为恶意软件和漏洞攻击包的“七月圣诞节”。如果研究人员是正确的,并且可以购买这种新的恶意软件以促进多个攻击活动,那么您可以期待在未来几周和几个月内听到更多关于它的信息。

因此通常的建议适用 - 保持与Windows相关的所有内容,并密切注意随着时间的推移变得更加脆弱的遗留系统。请记住,只需要一个不受保护的端点就可以使整个网络处于危险之中。