时间:2023-07-01|浏览:197
用戶喜愛的交易所
已有账号登陆后会弹出下载
然而,最近发现的一种名为Kraken的新僵尸网络可能会绕过这一限制。Kraken通过简单地将自己添加为一个排除项来进行操作,而不是试图找到排除的地方来传送恶意载荷。这是一种相对简单且有效地绕过Windows Defender扫描的方法。
安全公司ZeroFox已经解释了Kraken是如何工作的。在安装阶段,Kraken试图将自己移动到%AppData%/Microsoft文件夹中。为了保持隐藏,Kraken运行以下两个命令:
Powershell- Command Add-MpPreference-ExclusionPath %APPDATA%\Microsoft attrib +S +H %APPDATA%\Microsoft\%
ZeroFox指出,Kraken主要是一种资产窃取恶意软件,类似于最近发现的伪装成微软Windows 11官方网站的欺诈网站。该公司还补充说,Kraken现在具备窃取与用户加密货币钱包相关的信息的能力,与最近发现的假KMSPico Windows激活器恶意软件相似。
近期增加的功能包括从以下位置窃取各种加密货币钱包:
%AppData%\Zcash %AppData%\Armory %AppData%\bytecoin %AppData%\Electrum\wallets %AppData%\Ethereum\keystore %AppData%\Exodus\exodus.wallet %AppData%\Guarda\LocalStorage\leveldb %AppData%\atomic\LocalStorage\leveldb %AppData%\com.liberty.jaxx\IndexedDB\file__0.indexeddb.leveldb
你可以在ZeroFox的官方博客文章中找到更多关于Kraken工作方式的细节:https://www.zerofox.com/blog/meet-kraken-a-new-golang-botnet-in-development/