警告新的恶意软件绕过网络安全措施以启用PC上的攻击

在Proofpoint的威胁研究人员披露“之前未记录的恶意软件”之后，本周Windows用户又发出了另一个可怕的警告。但是，这个版本有一个转折，这个恶意软件本身并不是攻击，它是一个启动器，隐藏在受感染的计算机上，建立一个代理，其他恶意软件可以用它来管理到PC的流量并执行它们的威胁。

新版恶意软件被其发现者称为SystemBC，它使用SOCKS5代理绕过安全措施，为其他恶意软件创建安全的命令和控制隧道。研究人员强调“像Danabot这样的知名银行特洛伊木马”可能是受益者。

Proofpoint报告称，SystemBC正在通过漏洞利用工具包分发，这些网站可以在用户浏览网页时识别漏洞并植入恶意软件。SystemBC与危险的恶意软件同时被丢弃到目标计算机上，然后它将在恶意软件运行时启用，保护和隐藏来回的流量。研究人员在RIG和Fallout漏洞利用工具包中找到了SystemBC。可以将多个威胁组合到一个活动中的想法并不新鲜，但SystemBC采取的为危险攻击转发流量的方法是一个令人讨厌的转折。

实际上，在研究漏洞攻击工具包时，Proofpoint的研究人员发现了SystemBC。6月4日，该团队正在分析一个Fallout漏洞利用工具包活动，并“观察了以前看不见的代理恶意软件的分发情况。”该团队于6月6日再次看到了新的菌株 - 再次通过辐射活动，这次与Danabot银行特洛伊木马一起。

在进一步的活动中，7月份还有更多的“野外”恶意软件被发现。正是在多个未连接的威胁活动中发现了SystemBC，导致Proofpoint得出结论，SystemBC“很可能在地下市场上销售”。考虑到这一点，研究人员将SystemBC与5月份在地下论坛上发现的一则广告联系起来，以寻找与他们现在发现的相匹配的“socks5反接系统”。

这是一个惊人的发展，Proofpoint将其发现称为恶意软件和漏洞攻击包的“七月圣诞节”。如果研究人员是正确的，并且可以购买这种新的恶意软件以促进多个攻击活动，那么您可以期待在未来几周和几个月内听到更多关于它的信息。

因此通常的建议适用 - 保持与Windows相关的所有内容，并密切注意随着时间的推移变得更加脆弱的遗留系统。请记住，只需要一个不受保护的端点就可以使整个网络处于危险之中。