一种新的恶意软件 GhostHook v1.0 正在一个网络犯罪论坛上迅速传播。这种创新的无文件浏览器恶意软件由 Native-One 黑客组织开发,具有独特的分发方式和多功能性,对各种平台和浏览器构成重大威胁。
GhostHook v1.0 支持 Windows、Android、Linux 和 macOS 操作系统。该程序与主要浏览器兼容,包括:Google Chrome、Mozilla Firefox、Opera 和 Microsoft Edge等等。
无文件恶意软件可以通过看起来真实的 URL进行传播,这些URL可以通过多种渠道进行传播,包括:
- 社交论坛上的帖子;
- 电子邮件;
- 即时通讯工具中的消息;
- QR码。
无文件恶意软件是一种设计用于在不留下传统可执行文件痕迹的情况下感染计算机系统的恶意代码。这类恶意软件主要通过利用系统自带的合法工具或进程,如Windows PowerShell、WMI(Windows Management Instrumentation)、注册表、或者是内存加载技术来执行其恶意活动。以下是无文件恶意软件的一些关键特征和运作机制:
内存驻留:无文件恶意软件往往直接在计算机的RAM(随机存取内存)中运行,而不是将自身写入到硬盘上。这样可以避免被基于磁盘扫描的反病毒软件检测到。
利用系统工具:它利用操作系统的内置工具或管理脚本,例如PowerShell、Windows Script Host (wscript/wsh)、Mshta.exe等,这些工具通常无需额外下载文件即可执行复杂的命令和脚本,为恶意行为提供了便利。
持久化机制:虽然名为“无文件”,但无文件恶意软件可能会通过修改注册表项、设置计划任务或利用合法服务来实现自身的持久化,确保即使系统重启也能继续存在。
隐蔽性高:由于缺乏明显的文件痕迹,无文件恶意软件极难被发现,对传统的基于文件的防护措施构成了挑战。
动态加载:部分无文件恶意软件通过网络下载其执行体到内存中直接执行,随后可能立即清除下载痕迹,使得追踪和分析变得更加困难。
社会工程和漏洞利用:无文件恶意软件的传播可能借助社会工程技巧诱骗用户执行恶意代码,或利用软件漏洞在不知情的情况下植入系统。
无文件恶意软件对于企业和个人用户而言,要求采取更为先进的安全策略,包括使用能够检测内存中异常行为的EDR(终端检测与响应)系统、加强网络监控、及时修补系统漏洞以及提升用户安全意识等措施。