殭屍網絡Kraken輕鬆騙過Windows Defender並竊取加密貨幣錢包數據
微軟最近對Windows Defender的排除權限進行了更新,沒有管理員權限就無法查看排除的文件夾和文件。這是一個重要的變化,因為威脅者往往會利用這一信息在這種被排除的目錄中提供惡意軟件的載荷,以繞過防御者的掃描。
![海妖圖像1-1024x394.jpeg](https://i0.wp.com/static.cnbetacdn.com/thumb/article/2022/0220/50da23507e80a4b.jpeg?w=640&ssl=1)
然而,這可能無法阻止ZeroFox最近發現的一個名為Kraken的新殭屍網絡。這是因為Kraken只是簡單地將自己添加為一個排除項,而不是試圖尋找排除的地方來傳遞有效載荷。這是一種繞過Windows Defender掃描的相對簡單和有效的方法。
ZeroFox已經解釋了這是如何工作的。
在Kraken的安裝階段,它試圖將自己移到%AppData%/Microsoft.Net中。
為了保持隱藏,Kraken運行以下兩個命令:
powershell -Command Add-MpPreference -ExclusionPath %APPDATA%Microsoft
屬性 +S +H %APPDATA%Microsoft%
ZeroFox指出,Kraken主要是一個偷竊資產的惡意軟件,類似於最近發現的微軟Windows 11官網外觀相同的欺詐網站。這家安全公司補充說,Kraken的能力現在包括竊取與用戶的加密貨幣錢包有關的信息,讓人聯想到最近的假KMSPico Windows激活器惡意軟件。
![海妖2-1024x214.jpeg](https://i0.wp.com/static.cnbetacdn.com/thumb/article/2022/0220/3937cd08008ab8a.jpeg?w=640&ssl=1)
最近增加的功能是能夠從以下位置竊取各種加密貨幣錢包:
%AppData%Zcash
%AppData%軍械庫
%AppData%字節幣
%AppData%電子錢包
%AppData%以太坊密鑰庫
%AppData%Exodusexodus.wallet
%AppData%GuardaLocal Storageleveldb
%AppData%atomicLocal Storageleveldb
%AppData%com.liberty.jaxxIndexedDBfile__0.indexeddb.leveldb
你可以在官方博客文章中找到更多關於Kraken工作方式的細節:
https://www.zerofox.com/blog/meet-kraken-a-new-golang-botnet-in-development/