Verblecon Malware

有关名为 Verblecon 的新型强大恶意软件的详细信息已被曝光。早在 2022 年 1 月，研究人员就首次检测到了这种威胁性病毒。根据他们的发现，目前使用 Verblecon 恶意软件作为其攻击行动的一部分的威胁行为者仅利用了威胁能力的一小部分。事实上，尽管有能力在被破坏的设备上执行大量侵入性操作，但到目前为止，Verblecon 被降级为提供加密挖掘有效负载的加载程序的角色。

技术细节

Verblecon 恶意软件基于 Java 并具有多态性。这意味着威胁有效载荷的代码每次下载时看起来都不同。这种复杂的技术通常由参与网络间谍活动的威胁参与者使用。此外，威胁的代码流、字符串和符号都被完全混淆，使得 Verbelcon 非常隐蔽。

该威胁还会对虚拟化和沙盒环境执行多项检查。它获取当前正在运行的进程的列表，并与已知与虚拟机系统相关联的预定文件选择进行匹配。如果所有检查都通过，威胁将通过将自身复制到本地目录（例如%ProgramData% 、 %LOCALAPPDATA%和Users ）来继续执行。

Verblecon 将尝试定期与命令与控制 (C2) 服务器建立联系，以获取和部署新的有效载荷。使用类似技术对有效负载进行模糊处理，并检查环境是否存在虚拟化迹象。据研究人员称，payload的主要任务是下载并执行一个二进制文件，随后将其注入到%Windows%\SysWow64\dllhost.exe中。

正如我们所说，当前涉及 Verblecon 的操作并未利用威胁的全部功能，并且仅限于提供主要的加密挖掘威胁。还有迹象表明，攻击者有兴趣获取受害者的 Discord 代币。