這只新發(fā)現(xiàn)的僵尸網(wǎng)絡(luò)程序Kraken與2018年發(fā)現(xiàn)的同名勒索軟件是兩個(gè)不同的程序。安全廠商ZeroFox指出，Kraken的早期版本于2021年10月上傳到GitHub，屬于Golang項(xiàng)目。但是暫時(shí)還不清楚這個(gè)GitHub項(xiàng)目是由惡意組織創(chuàng)建的，還是黑客利用GitHub項(xiàng)目撰寫的Kraken。

雖然Kraken背后的目的尚不明確，但研究人員指出，它的功能正在不斷增強(qiáng)。目前，Kraken已具備滲透潛伏、搜集主機(jī)資料、下載和執(zhí)行惡意文件、執(zhí)行shell指令、獲取網(wǎng)絡(luò)截圖、竊取加密貨幣錢包等多種功能。

當(dāng)前的Kraken版本通過后門程序SmokeLoader將RARSFX文件下載到WindowsPC，并解封包進(jìn)行安裝。利用SmokeLoader后門進(jìn)行傳播，使得攻擊者在切換到新的C&C服務(wù)器時(shí)能夠快速感染數(shù)百臺計(jì)算機(jī)。

安裝Kraken時(shí)，它會(huì)采用兩種方法維持在PC中。首先，通過執(zhí)行Powershell指令告訴Microsoft Defender跳過Kraken安裝目錄，其次，執(zhí)行attrib隱藏指令，使其復(fù)制的.EXE文件無法通過文件管理器顯示。此外，它還會(huì)添加新的機(jī)器碼，以便在用戶每次登錄WindowsPC時(shí)執(zhí)行一次。

從去年10月到12月，Kraken的主要行動(dòng)是傳播竊密工具，尤其是RedLineStealer，用于將PC的信息回傳給外部C&C服務(wù)器。上周，HP安全研究人員發(fā)現(xiàn)另一波攻擊通過偽裝成Windows更新程序，誘使用戶安裝RealLine竊密程序。在這輪攻擊中，Kraken收集的信息包括主機(jī)和用戶名稱、Windows版本、CPU和GPU信息等等，外部黑客還可以通過C&C指令獲取截圖。

ZeroFox還觀察到一些受害者計(jì)算機(jī)上安裝了其他竊密程序和挖礦軟件。目前，Kraken每月的收入已經(jīng)達(dá)到3,000美元。

研究人員建議用戶將殺毒和入侵檢測軟件更新到最新版本，啟動(dòng)雙重驗(yàn)證以減少釣魚和賬號填充（credential stuffing）攻擊，并避免打開來路不明的郵件附件或鏈接。

熱點(diǎn)：加密貨幣 錢包 錢包安全