瞄准Windows的新僵尸网络程序Kraken,还偷走加密货币钱包

安全厂商发现一只具有多种能力的新僵尸网络程序Kraken,不但会窃取Windows PC信息、还会挖矿及执行恶意程序。

这只新发现的僵尸网络程序Kraken,和2018年发现同名的勒索软件是不同的两只。安全厂商ZeroFox指出,Kraken早期版本于2021年10月上传到GitHub,属于Golang项目,不过,究竟是该GitHub项目属于恶意组织,或是黑客利用GitHub项目来撰写Kraken则不得而知。

图片来源/ZeroFox Intelligence

Kraken背后的目的为何不明,但研究人员指出,虽然它功能很简单,但功能快速增进中,目前已具有渗透潜伏、搜集主机资料、下载和执行恶意文件、执行shell指令、取得网络截图、窃取加密货币钱包等多种功能。

目前的Kraken版本是经由后门程序SmokeLoader下载RAR SFX档到Windows PC,再解封包安装。而利用SmokeLoader后门传播,使攻击者每次转换到新的C&C服务器时,就能快速感染数百台计算机。

图片来源/ZeroFox Intelligence

安装时Kraken会用两个方法维持长驻在PC中。首先,它通过执行Powershell指令告诉Microsoft Defender杀毒引擎跳过Kraken安装的目录,二是执行attrib隐藏指令,使其复制的.EXE档无法经由文件总管显示。此外它还会加入新机码以便每次用户登录Windows PC都会执行一次。

从去年10月到12月,Kraken行动主要是传播窃密工具,特别是RedLine Stealer以搜集PC的资料回传给外部C&C服务器。上周HP安全研究人员才发现,另一波攻击通过伪装Windows更新程序,诱使用户安装RealLine窃密程序。而在这波攻击中,Kraken搜集的资料包括主机和用户名称、Windows版本、CPU及GPU信息等等,外部黑客还可下达截图指令以C&C接收信息。

ZeroFox也观察到某些受害者计算机被Kraken安装了其他窃密程序及挖矿软件。目前它已经每月进账3,000美元。

研究人员建议用户将杀毒及入侵侦测软件更新到最新版、启动双重验证以降低钓鱼及账号填充(credential stuffing)攻击,并避免打开来路不明的信件附件或连接。

发表评论