Verblecon Malware

有關名為 Verblecon 的新型強大惡意軟件的詳細信息已被曝光。早在 2022 年 1 月，研究人員就首次檢測到了這種威脅性病毒。根據他們的發現，目前使用 Verblecon 惡意軟件作為其攻擊行動的一部分的威脅行為者僅利用了威脅能力的一小部分。事實上，儘管有能力在被破壞的設備上執行大量侵入性操作，但到目前為止，Verblecon 被降級為提供加密挖掘有效負載的加載程序的角色。

技術細節

Verblecon 惡意軟件基於 Java 並具有多態性。這意味著威脅有效載荷的代碼每次下載時看起來都不同。這種複雜的技術通常由參與網絡間諜活動的威脅參與者使用。此外，威脅的代碼流、字符串和符號都被完全混淆，使得 Verbelcon 非常隱蔽。

該威脅還會對虛擬化和沙盒環境執行多項檢查。它獲取當前正在運行的進程的列表，並與已知與虛擬機系統相關聯的預定文件選擇進行匹配。如果所有檢查都通過，威脅將通過將自身複製到本地目錄（例如%ProgramData% 、 %LOCALAPPDATA%和Users ）來繼續執行。

Verblecon 將嘗試定期與命令與控制 (C2) 服務器建立聯繫，以獲取和部署新的有效載荷。使用類似技術對有效負載進行模糊處理，並檢查環境是否存在虛擬化跡象。據研究人員稱，payload的主要任務是下載並執行一個二進製文件，隨後將其註入到%Windows%\SysWow64\dllhost.exe中。

正如我們所說，當前涉及 Verblecon 的操作並未利用威脅的全部功能，並且僅限於提供主要的加密挖掘威脅。還有跡象表明，攻擊者有興趣獲取受害者的 Discord 代幣。