【安全资讯】RiseLoader恶意软件家族再度袭来，威胁加剧

概要：

网络安全领域再度传来警报，Zscaler ThreatLabz发现了一种新型恶意软件家族RiseLoader，该恶意软件专注于下载和执行二级有效载荷。与RisePro相似，RiseLoader被认为是同一黑客组织的作品，标志着恶意软件加载器的演变，尤其是在其高效的交付和执行方面。

主要内容：

RiseLoader首次出现在2024年10月，正值RisePro开发停止不久后。该恶意软件通过复杂的反分析措施来增强隐蔽性，例如使用VMProtect进行样本保护，使逆向工程变得困难。此外，RiseLoader在执行过程中创建了独特的互斥体，以确保每个受感染主机的单次执行。

一旦执行，RiseLoader便与命令与控制（C2）服务器建立通信，采用自定义的基于TCP的二进制协议。它通过硬编码的C2服务器进行连接，成功握手后，服务器发送用于消息加密的XOR密钥。随后，RiseLoader会下载并执行有效载荷，常见的恶意软件包括Vidar和Lumma Stealer。

Zscaler指出，RiseLoader在收集与加密货币相关的信息方面表现活跃，扫描受感染系统中的浏览器扩展和钱包目录，并将数据传输至C2服务器。尽管RiseLoader与PrivateLoader共享有效载荷目标，但其网络协议和行为更接近RisePro，显示出同一黑客组织的持续威胁。