其他
“免费” IDA Pro 安装包里放后门,胖胖胖黑客太骚了
根据杀毒软件厂商 ESET Research 的消息,APT 组织 Lazarus 又有新花样了。
Lazarus 此前曾在社交网络上伪装研究员和社区套近乎,发送恶意 Visual Studio 工程文件,甚至浏览器 0day 的方式,试图入侵安全研究员的电脑。(前情提要:胖胖胖家的社工黑客又被封号了)
这一次,他们选择给 IDA Pro 的安装包投毒。这个恶意的 IDA Pro 安装包对应版本 Windows 下的 7.5:
安装包里的 idahelper.dll 和 win_fw.dll 被篡改植入后门。运行之后尝试联网下载一段载荷执行:
感染后添加计划任务做持久化:
大家还是自查一下
原文来自
twitter.com/esetresearch/status/1458438155149922312