最新:“免费” IDA Pro 安装包里放后门!!!

0#事件
根据杀毒软件厂商 ESET Research 的消息,APT 组织 Lazarus 又有新花样了。
Lazarus 此前曾在社交网络上伪装研究员和社区套近乎,发送恶意 Visual Studio 工程文件,甚至浏览器 0day 的方式,试图入侵安全研究员的电脑。(前情提要:胖胖胖家的社工黑客又被封号了)

1#详细情况
这一次,他们选择给 IDA Pro 的安装包投毒。这个恶意的 IDA Pro 安装包对应版本 Windows 下的 7.5:



安装包里的 idahelper.dll 和 win_fw.dll 被篡改植入后门。运行之后尝试联网下载一段载荷执行:

感染后添加计划任务做持久化:


本文系转载,原文请看:https://twitter.com/esetresearch/status/1458438155149922312
本博客所有文章如无特别注明均为原创。作者:渊龙Sec团队复制或转载请以超链接形式注明转自 渊龙Sec团队博客
原文地址《最新:“免费” IDA Pro 安装包里放后门!!!
分享到:更多

相关推荐

发表评论

路人甲 表情
看不清楚?点图切换 Ctrl+Enter快速提交

网友评论(0)