Kraken：轻松钓鱼WindowsDefender，窃取加密货币钱包数据

微软最近对Windows Defender进行了更新，这一更新使得没有管理员权限的用户无法查看被排除的文件夹和文件。这是一项重要的变化，因为黑客往往会利用这个漏洞，在被排除的目录中传播恶意软件，从而规避防御者的扫描。

然而，最近发现的一种名为Kraken的新僵尸网络可能会绕过这一限制。Kraken通过简单地将自己添加为一个排除项来进行操作，而不是试图找到排除的地方来传送恶意载荷。这是一种相对简单且有效地绕过Windows Defender扫描的方法。

安全公司ZeroFox已经解释了Kraken是如何工作的。在安装阶段，Kraken试图将自己移动到%AppData%/Microsoft文件夹中。为了保持隐藏，Kraken运行以下两个命令：

Powershell- Command Add-MpPreference-ExclusionPath %APPDATA%\Microsoft attrib +S +H %APPDATA%\Microsoft\%

ZeroFox指出，Kraken主要是一种资产窃取恶意软件，类似于最近发现的伪装成微软Windows 11官方网站的欺诈网站。该公司还补充说，Kraken现在具备窃取与用户加密货币钱包相关的信息的能力，与最近发现的假KMSPico Windows激活器恶意软件相似。

近期增加的功能包括从以下位置窃取各种加密货币钱包：

%AppData%\Zcash %AppData%\Armory %AppData%\bytecoin %AppData%\Electrum\wallets %AppData%\Ethereum\keystore %AppData%\Exodus\exodus.wallet %AppData%\Guarda\LocalStorage\leveldb %AppData%\atomic\LocalStorage\leveldb %AppData%\com.liberty.jaxx\IndexedDB\file__0.indexeddb.leveldb

你可以在ZeroFox的官方博客文章中找到更多关于Kraken工作方式的细节：https://www.zerofox.com/blog/meet-kraken-a-new-golang-botnet-in-development/

热点：加密货币 数据 钱包