Hello World
Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me on GitHub.
Quick StartCreate a new post1$ hexo new "My New Post"
More info: Writing
Run server1$ hexo server
More info: Server
Generate static files1$ hexo generate
More info: Generating
Deploy to remote sites1$ hexo deploy
More info: Deployment
Beware, Hackers Leverage DeepSeek Trend to Distribute Phishing Files like fake DeepSeek Installer and Deploy Backdoor Trojans to Steal User Passwords
BackgroundDuring our routine sample patrol, we discovered a suspicious sample named Install_DeepSeek.exe being distributed today, as shown in the image below:
This sample masquerades under the DeepSeek icon, has no valid digital signature, and its pdb path is C:\Users\Administrator\source\repos\Bind\Bind\obj\Release\Bind.pdb which raised our alert and suspicion, as illustrated in the following image:
After analysis, we confirmed that this sample downloads multi-layer scripts and downloaders from ...
警惕,黑客借助DeepSeek热潮投放后门木马窃取用户密码
背景在日常样本巡逻中,我们在今天发现了一个名为Install_DeepSeek.exe的可疑样本在传播,如下图所示:
该样本打着DeepSeek的图标,无有效数字签名,pdb路径为C:\Users\Administrator\source\repos\Bind\Bind\obj\Release\Bind.pdb,这引起了我们的警觉和怀疑,如下图所示:
经过分析,我们确定,该样本会从黑客GitHub仓库中下载多层脚本和下载者,嵌套下载,最终通过下载得到一个使用Python编写的恶意脚本用于执行后门行为并窃取密码。截至本文撰写时该py脚本首次在VirusTotal多引擎扫描平台上传并扫描,静态检出率为0%,如下图所示:
同时,我们发现黑客的GitHub账户上有多个类似的仓库,均在几个月或几周前上传了恶意软件,如下图所示:
样本分析Install_DeepSeek.exe的主要行为是下载https://github.com/nvslks/g/raw/refs/heads/g/g.zip,如下图所示:
在https://github.com/nvslks/g仓库中有一个Bind.exe,经过分 ...
警惕,后门病毒签署有效数字签名驱动对抗防病毒软件
警惕,后门病毒签署有效数字签名驱动对抗防病毒软件一、背景近期捕获到一组后门病毒样本,使用 pyinstaller 打包,如下图所示:
样本使用 pyinstaller 打包,解包后内部核心功能编译成 app.cp38-win32.pyd,使用 UPX 压缩壳打包,如下图所示:
经过分析研判,确认样本与鹰眼威胁情报中心金山毒霸安全团队于 2023 年 8 月 7 日发布的分析报告《黑产团伙利用SEM渠道投放CS远控木马》所属组织同源。
二、详细分析以样本 fw1.exe 为例,我们粗略观察到样本存在以下行为:
将自身复制到 AppData\Roaming\CleverSoar 目录内,并将其命名为 cleversoar.exe
在 AppData\Roaming\CleverSoar 目录内释放 drv-loader.exe(驱动加载器) 与 kavservice.bin(驱动程序),由drv-loader.exe加载kavservice.bin
样本运行后会对防病毒软件、任务管理器、注册表编辑器进行对抗(强制结束指定进程)部分行为,如下图所示:
由于本次样本的 app.cp38-w ...
重磅,假冒 Google Chrome 安装程序(携带有效数字签名)劫持用户浏览器主页
重磅,假冒 Google Chrome 安装程序(携带有效数字签名)劫持用户浏览器主页一、背景近日,在进行日常样本捕获过程当中发现一假冒的 Google Chrome 安装程序,携带“上海都点网络科技有限公司”有效数字签名,如下图所示:
该样本来源于某假冒 Google Chrome 下载的恶意网站(chrome[.]jshkck[.]cn),该网站为了躲避安全分析研究人员的分析,其加载的加密 js r.js 会使得浏览器的 F12 审查元素无法正常工作,如下图所示:
并且发现,如果将 r.js 进行阻断,或使用查看网页源代码的方式查看下载 URL,得到的下载 URL 与直接下载得到的URL与文件名称并不相符,如下图所示(左图正常访问下载,中图阻断干扰调试的 r.js 进行下载,右图为网页源代码):
可以显而易见地看到,只有正常下载时才会下载得到带有数字文件名称的恶意安装程序
并且在无 cookies 的情况下,该链接无法被访问,如下图所示:
同时还发现每次下载时该链接与下载文件名称当中的数字不一定会相同,如下图所示:
测试时环境下三次下载得到的文件 Hash 值,如下图所示:
我们发 ...
