黑客使用Microsoft Build Engine无文件传输恶意软件

威胁参与者正在滥用Microsoft Build Engine（MSBuild）在目标Windows系统上无文件传输远程访问特洛伊木马和密码窃取恶意软件。

网络安全公司Anomali的研究人员周四表示，这场正在积极进行的运动据说是在上个月出现的。他们补充说，恶意构建文件中嵌入了编码的可执行文件和部署后门的外壳代码，使对手能够控制受害者的机器并窃取敏感信息。

MSBuild是一个面向对象的开源生成工具。NET和Microsoft开发的Visual Studio，允许编译源代码、打包、测试和部署应用程序。

在使用MSBuild对机器进行无文件攻击时，其目的是不受监视并阻止检测，因为此类恶意软件利用合法应用程序将攻击代码加载到内存中，从而在系统上不留下感染痕迹，并使攻击者具有高度的隐蔽性。

在撰写本文时，只有两个安全供应商标记了其中一个MSBuild。proj文件（“vwnfmo.lnk”）被视为恶意，而4月18日上传到VirusTotal的第二个样本（“72214c84e2.proj”）仍未被每个反恶意软件引擎检测到。Anomali分析的大多数样品都被发现能运送Remcos鼠，其他一些样品也能运送类星体鼠和红线盗猎器。

Remcos（又称远程控制和监视软件）一旦安装，就可以完全访问远程对手，其功能包括捕捉击键、执行任意命令、录制麦克风和网络摄像头，而Quasar是一款开源软件。基于网络的RAT能够记录密钥、窃取密码等。Redline Stealer，顾名思义，是一种商品恶意软件，除了窃取与加密货币应用程序相关的密码和钱包外，还从浏览器、VPN和消息传递客户端获取凭据。

Anomali研究人员塔拉·古尔德（Tara Gould）和盖奇·梅勒（Gage Mele）说：“这场运动背后的威胁参与者使用无文件传输作为绕过安全措施的一种方式，这种技术被参与者用于各种目标和动机。”。“这场运动突显出，仅依靠防病毒软件不足以进行网络防御，使用合法代码来隐藏恶意软件，使其免受防病毒技术的攻击是有效的，而且呈指数级增长。”