駭客透過GitHub、搜尋廣告等管道,散布含有惡意程式碼的逆向工程工具dnSpy
文/陳曉莉 | 2022-01-11發表
資安研究人員警告,打造惡意版dnSpy的駭客不但買下Google搜尋的廣告版位,也在GitHub上建立了兩個dnSpy專案,企圖擴大下載數。上述已知用來散布惡意dnSpy的網站或GitHub儲存庫皆已被關閉。(圖片來源/MalwareHunterTeam)
知名的dnSpy工具近日出現了惡意版,駭客於該工具中整合了加密貨幣竊取工具、遠端存取木馬及挖礦程式,明顯鎖定了開發者與資安研究人員。
dnSpy為一針對.NET程式的逆向工程工具,開發者用它來除錯、變更或反編譯.NET程式,資安人員則用它來分析.NET惡意程式。雖然原始作者已不再維護dnSpy,但仍有其它開發者積極維護它並透過GitHub對外分享。
不過,代號為0day enthusiast的資安研究人員與MalwareHunterTeam上周六(10/8)分別警告,駭客已透過不同的管道傳遞被植入惡意程式碼的dnSpy,包括註冊.net的dnSpy網站,甚至買下了Google搜尋的廣告版位,以用來推廣惡意的dnSpy.dll檔案,另也於GitHub上建立了兩個dnSpy專案,企圖散布已染毒的dnSpy。
圖片來源/MalwareHunterTeam
《BleepingComputer》則報導,此一惡意的dnSpy應用程式執行時看起來也很正常,它同樣允許使用者開啟.NET程式,執行除錯或其它合法功能,但它也會執行其它一系列的其它命令,包括關閉Microsoft Defender,關閉Disables User Account Control,以及下載其它的惡意酬載。
目前上述已知用來散布惡意dnSpy的網站或GitHub儲存庫皆已被關閉。
圖文來源:iThome
