网络犯罪分子的恶意广告攻击

重要要点

• 网络犯罪分子通过恶意广告攻击分发名为“MalVirt”的虚拟化.NET加载器。
• MalVirt用于部署Formbook和新型XLoader信息窃取恶意软件，这两种恶意软件具备记录键盘输入、盗取凭证及其他恶意软件准备功能。
• 研究人员发现，利用KoiVM虚拟保护器使MalVirt加载器变得更加隐蔽。
• 攻击者利用MalVirt加载器在微软决定默认阻止Office文档中的宏之后逐渐受到欢迎。
• 某些攻击者将信息窃取恶意软件用于政治入侵，特别是针对乌克兰的钓鱼攻击。

网络犯罪分子近期发起了恶意广告攻击，以便于传播被称为“MalVirt”的虚拟化.NET加载器。这些加载器主要用于部署Formbook和更新版的XLoader信息窃取恶意软件，这两者都具备键盘记录、凭证盗取，以及各种恶意软件准备的功能，相关信息在中有详细报道。

根据SentinelOneSentinelLabs研究人员的发现，通过.NET应用程序的KoiVM虚拟保护器进行虚拟化，能够有效地使MalVirt加载器隐藏其存在。研究人员指出：“通过MalVirt加载器分发这种恶意软件的方式，表现出异常多的反分析和反检测技术。”由于微软决定在Office文档中默认阻止宏，利用MalVirt加载器的趋势在威胁行为者中逐渐升温。

尽管信息窃取恶意软件通常用于进行常见的网络犯罪目标，但一些攻击者则将此类恶意软件用于政治入侵，例如针对乌克兰的俄罗斯钓鱼攻击。“当涉及复杂的加载器时，这可能暗示着一种尝试，即利用网络犯罪分子的分发方式，在对特定受害者进行初步验证后，加载更具针对性的第二阶段恶意软件，”研究人员补充道。

恶意软件类型 | 功能
—|—
Formbook | 键盘记录、凭证盗取
XLoader | 键盘记录、凭证盗取
MalVirt 加载器 | 反分析、反检测

相关链接： –