据外媒 5 月 9 日报道,安全公司 Cylance 防御产品近期检测到一款难以划分类别的新型恶意软件“Infostealer Paipeu”,疑似直接反向连接韩国 IP 地址向目标用户发起攻击。
调查显示,恶意软件可通过 443 端口发送包含特定字符串的 HTTP 头、以及包含特殊数据的 POST 请求,倘若目标系统缺少 “ 有趣 ” 响应,恶意软件将会立即退出并且不会对系统做出显著更改。研究人员表示,一旦恶意软件感染目标系统,便会开始收集并发送信息,主要包括本地计算机 NetBIOS 名称、系统区域设置的语言标识符、可用磁盘空间、指定终端服务器上的活动进程、指定本地组成员列表等。此外,恶意软件还可添加用户账户、分配密码与权限级别。
据悉,Infostealer Paipeu 的亮点在于可使用命名管道并启用 NULL 会话管道直接传输信息,常用于主机上不同恶意软件之间或局域网内受感染系统之间的通信。不仅如此,该恶意软件还可转储哈希密码。样本中嵌有 32 位与 64 位 pwdump dll 文件各一。Cylance 表示,恶意软件 Infostealer Paipeu 刚被编制 2 天就被研究人员检测发现,加之无法将其归类至任何已知恶意软件家族的事实表明,这是一起有针对性的网络攻击事件。
原作者:Gabriela Vatu, 译者:青楚 ,译审:游弋
from hackernews.cc.thanks for it.