近日,趋势科技发现了一波新的攻击,目的是将PlugX远程访问木马伪装成一个名为x32dbg的开源Windows调试器工具进行传播。该合法工具允许检查内核模式和用户模式代码、故障转储及CPU寄存器。
经研究人员分析x32dbg.exe有一个有效的数字签名,因此它被错认为是安全的。这让攻击者能够逃避检测,保持持久性,提升权限,并绕过文件执行限制。
该RAT使用DLL侧面加载,如x32dbg调试工具(x32dbg.exe)时,恶意加载自身有效载荷DLL。
攻击者通过修改注册表和创建计划任务来实现持久性,即使在系统重新启动时也能保持访问。
专家报告说,x32dbg.exe被用来投放一个后门,一个UDP shell客户端,收集系统信息,收集主机信息,并创建一个线程来持续等待C2命令,并使用硬编码的密钥来解密C&C通信。
最后,报告总结说,尽管安全技术有所进步,但攻击者继续使用这种技术,因为它利用了对合法应用程序的基本信任。只要系统和应用程序继续信任和加载动态库,这种技术对于攻击者提供恶意软件和获取敏感信息仍然是可行的。
参考链接:securityaffairs.com/142770/malware/plugx-trojan-disguised-windows-tool.html