Valak 恶意软件与 Gozi ConfCrew 的千丝万缕联系
原文链接: Valak Malware and the Connection to Gozi Loader ConfCrew 译者:知道创宇404实验室翻译组 Valak是使用基于脚本的多阶段恶意软件,该软件劫持电子邮件并嵌入恶意URL附件,以使用无文件脚本来感染设备。这些恶意软件主要在广告活动中使用,会让人联想到Gozi ConfCrew。 关Valak详情请见报告: https://assets.sentinelone.com/labs/sentinel-one-valak-i 背景 截止目前,Gozi已经以各种形式存在了十多年。该软件的某些变种操作过程更加复杂,主要通过特洛伊木马或租用服务模式来进行操作。其中一个变体使用了密钥10291029JSJUYNHG,由于其独特的回复方式以及线程垃圾邮件的劫持引得不少关注。在实际过程中,秘钥虽然与dreambot混淆,但两者的操作却相互分开,该项服务主要进行程序加载以及垃圾邮件分发。 虽然这个Gozi服务已经持续运行了几年,在2019年10月中旬,Valak开始出现测试模式。这个新的基于javascript的系统还涉及到受破坏的服务器以及基于链接的电子邮件活动,这与典型的密码保护附件方法有所不同。 研究思路 交付——ConfCrew交付系统 最近的Valak传递链利用了与PHP传递代理联系的文档文件,以便下拉并执行初始DLL有效负载