Go加载器伪装Windows Defender组件 膨胀491MB绕过沙盒分析

安全研究人员披露一起4月间针对Windows用户的攻击活动,攻击者利用Go语言编写的新型加载器,将仅2.3MB的恶意代码通过添加null字节填充至491MB,借此超过沙盒分析环境的上限以规避检测。该加载器通过伪装成Windows Defender的MpClient.dll执行侧载攻击,并内置AMSI(反恶意软件扫描接口)禁用功能。攻击成功后同时投递信息窃取木马Vidar和加密货币挖矿工具XMRig。经溯源分析,该加载器来源于名为”Factory-v3″的MaaS(恶意软件即服务)平台,该平台还同时向Lumma Stealer等其它木马家族提供基础设施支持。🔗 原文链接:https://x.com/MalwareBibleJP/status/2076084627547275774

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
相关推荐
  • 暂无相关文章