不仅如此,“more_eggs”还被其他两个黑客组织使用过,包括黑客组织FIN6 。
研究人员再将PureLocker与最近的“more_eggs”加载器组件样本进行对比后发现,它们极有可能是同一伙人创建的,因为它们存在很多相似之处:
- COM Server DLL组件都是使用PureBasic编写的;
- 载入有效载荷前,函数和代码几乎相同,且使用的是相同的逃避和反分析方法;
- 相同的字符串编码和解码方法 。
文章插图
结论PureLocker并不是一种常规的勒索软件,它没有试图感染尽可能多的受害者,而是尽可能地隐藏其意图和功能 。用于实现逃避和反分析的代码似乎是直接从“more_eggs”加载器组件中复制过来的,这使得它能够避开自动分析系统而不被发现 。
由于PureLocker是作为一种恶意软件即服务(MaaS)出售的,基于目前掌握的线索,还很难判定它是出自Cobalt Gang或FIN6,还是一个新的黑客组织之手 。
推荐阅读
- 海南农垦欲借鉴台新型现代农业模式发展海南茶业
- 探秘惊马槽 惊马槽为什么马不敢过
- 主要的几种勒索软件的攻击工具和技术有哪些?
- 勒索软件伪装成Windows更新诱骗用户点击
- 新型药茶,治疗痛风显奇效
- 古田,新型茶业合作模式促农增收
- 恩施农科院新型茶叶整型技术获专利
- 绿茶,新型包装博得年轻消费者的青睐
- 茗腾茶叶与BMW共同打造新型服务模式
- 山楂果茶粉加工技术