그러나 이것은 최근 ZeroFox가 발견한 Kraken이라는 새로운 봇넷을 막지는 못할 것입니다. 이는 Kraken이 페이로드를 전달하기 위해 제외된 위치를 찾으려고 하지 않고 단순히 자신을 예외로 추가하기 때문입니다. 이것은 Windows Defender 검사를 우회하는 비교적 간단하고 효과적인 방법입니다.
ZeroFox는 작동 방식을 다음과 같이 설명했습니다.
설치 단계에서 Kraken은 %AppData%\Microsoft 폴더로 이동을 시도합니다.
[…]
숨겨진 상태를 유지하기 위해 Kraken은 다음 두 명령을 실행합니다.
- powershell -명령 추가-MpPreference -ExclusionPath %APPDATA%\Microsoft
- 속성 +S +H %APPDATA%\Microsoft\
ZeroFox는 Kraken이 기본적으로 Microsoft Windows 11과 유사하게 새로 발견된 웹사이트와 유사한 훔치는 맬웨어라고 언급했습니다. 보안 회사는 Kraken의 기능에 이제 사용자의 암호화폐 지갑과 관련된 정보를 훔치는 기능이 포함되어 최근의 가짜 Windows 액티베이터를 연상시킵니다. 멀웨어 KMSPico.
ZeroFox는 다음과 같이 씁니다.
최근 추가된 기능은 다음 위치에서 다양한 암호화폐 지갑을 훔치는 기능입니다.
- %AppData%\Zcash
- %AppData%\Armory
- %앱데이터%\바이트코인
- %AppData%\Electrum\지갑
- %AppData%\Ethereum\keystore
- %AppData%\Exodus\exodus.wallet
- %AppData%\Guarda\로컬 저장소\leveldb
- %AppData%\atomic\로컬 저장소\leveldb
- %AppData%\ com.liberty.jaxx\IndexedDB\file__0.indexeddb.leveldb
Kraken의 작동 방식에 대한 자세한 내용은 공식 블로그 에서 확인할 수 있습니다 .
답글 남기기