利用 jarsigner 工具传播 XLoader 恶意软件的攻击活动

关键要点

• 攻击者利用合法的 Java Archive 文件签名工具 jarsigner，散布信息窃取恶意软件 XLoader。
• 攻击首先通过压缩的 ZIP 文件传播一个重命名的 jarsigner.exe 文件。
• 执行该文件后，会加载被篡改的 DLL 库，最终注入 XLoader 恶意软件。
• XLoader 能够窃取用户设备和浏览器的详细信息，并允许额外的恶意软件传递。
• 新的 XLoader 变种采用高级混淆和加密技术，能够规避基于签名的检测系统。

根据 的报道，攻击者正在利用由 Eclipse 基金会的 IDE 包安装创造的合法 Java Archive文件签名工具 jarsigner，以助于散布信息窃取恶意软件 XLoader，作为一种新攻击活动的一部分。

根据 AhnLab 安全情报中心的分析，入侵始于传播一个压缩的 ZIP 归档文件，里面包含一个重命名的 jarsigner.exe文件。当执行该文件时，会提示加载一个篡改的 DLL 库，最终注入 XLoader 恶意软件。ASEC研究人员表示，除了窃取用户设备和浏览器的详细信息及其他敏感数据，XLoader 还允许额外的恶意软件传递。这样的发现与 Zscaler ThreatLabz报告中的内容相关，该报告详细说明了新的 XLoader 恶意软件变种的出现，其具有更先进的混淆和加密能力，可以规避基于签名的检测系统。ZscalerThreatLabz 的研究人员指出，"XLoader 引入了先前在 SmokeLoader 中观察到的技术，包括在运行时加密代码的部分以及绕过 NTDLL钩子的手段。"

相关链接： - -
-

通过深入了解这些攻击手法和恶意软件的特征，用户和组织可以更好地防范潜在的安全威胁。务必保持警惕，确保所有软件均为最新版本，并采用有效的安全策略和工具，以保护敏感信息不被盗取。