新闻快讯
< >

神秘木马Felismus初现身 幕后黑手谜云重重

E安全4月28日讯 网络安全公司Forcepoint经过几周的追踪发现一款远程访问木马(RAT)“Felismus”。这款木马相对复杂,一旦感染系统,这款木马能自我更新功能,以便于攻击者秘密实施活动,例如键盘记录、流量分析、进一步部署恶意软件等间谍活动。

这款木马被命名为“Felismus”,是因为它在唯一可读加密密钥中提到了“Tom & Jerry”。在拉丁语中,Felis指的是猫,Mus指的是老鼠。这款木马似乎主要用于执行间谍活动。虽然受害者和幕后黑手的身份仍是一个谜,鉴于它十分罕见,可以合理推测Felismus仅针对精确的针对性目标。

Felismus木马“身手不凡”

Felismus冒充Adobe 内容管理系统((Content Management System))文件来渗透系统,将恶意文件显示为“AdobeCMS.exe”。与其它形式的恶意软件类似,Felismus的散布方法可能是网络钓鱼电子邮件攻击,以此诱骗受害者误认为自己下载的是Adobe更新。

神秘木马Felismus初现身 幕后黑手谜云重重-E安全

一旦在目标系统运行,Felismus通过注册WindowProc函数将自己伪装成Windows进程,允许窗口借助恶意软件的C2服务器秘密接受并处理消息,而所有这些活动均伪装成了正常活动。

因具备极其高超的伪装能力,从而能规避反病毒程序的检测,攻击者从而能够秘密执行命令,从这点来看,Felismus相当危险。

Felismus的模块化构造能隐藏自己,甚至拓展能力,因此攻击者能执行监控、破坏或窃取数据之类的活动。

不难看出,Felismus背后藏着“高手”。但这些“高手”具备掩盖活动痕迹的能力,这就意味着暂无人了解他们的身份或目标。从目前来看,暂时还有任何证据可以将这款木马与知名黑客组织关联起来。

研究人员提到一些有关攻击者身份的线索。这款恶意软件中出现的拼写错误表明,英语并不是他们的母语。

Felismus最近才被发现,据研究人员表称,这款木马似乎已活跃半年以上。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。