HackerNews 编译,转载请注明出处:
据观察,黑客在不同的攻击活动中,将恶意代码隐藏在图片中,以传播诸如VIP键盘记录器和0bj3ctivity信息窃取器之类的恶意软件。
惠普狼安全(HP Wolf Security)在其与《黑客新闻》分享的2024年第三季度威胁洞察报告中指出:“在这两次攻击活动中,攻击者将恶意代码隐藏在上传到文件托管网站archive[.]org的图片中,并使用相同的.NET加载器来安装其最终的有效载荷。”
攻击始于一封伪装成发票和采购订单的钓鱼邮件,诱骗收件人打开恶意附件,如Microsoft Excel文档。打开这些文档后,会利用Equation Editor(CVE-2017-11882)中的已知安全漏洞下载VBScript文件。
该脚本旨在解码并运行一个PowerShell脚本,该脚本会从archive[.]org上托管的一个图片中提取Base64编码的代码,然后将其解码为.NET可执行文件并执行。
.NET可执行文件作为加载器,从给定URL下载VIP键盘记录器并运行,使威胁行为者能够从受感染的系统窃取包括键盘输入、剪贴板内容、屏幕截图和凭据在内的广泛数据。VIP键盘记录器与Snake键盘记录器和404键盘记录器存在功能重叠。
另一次类似的攻击活动被发现通过电子邮件向目标发送恶意归档文件。这些邮件伪装成询价请求,旨在诱使收件人打开归档文件内的JavaScript文件,然后启动PowerShell脚本。
与前面的案例类似,PowerShell脚本会从远程服务器下载一张图片,解析其中的Base64编码代码,并运行相同的基于.NET的加载器。不同的是,这次攻击链的最终结果是部署了一个名为0bj3ctivity的信息窃取器。
两次攻击活动的相似之处表明,黑客正在利用恶意软件工具包来提高整体效率,同时降低制作攻击所需的时间和技术专长。
惠普狼安全还表示,它观察到恶意行为者利用HTML走私技术,通过AutoIt释放器投放XWorm远程访问木马(RAT),这与之前以类似方式分发AsyncRAT的攻击活动相呼应。
“值得注意的是,HTML文件带有表明它们是在GenAI的帮助下编写的标志,”惠普表示。“这一活动表明,在攻击链的初始访问和恶意软件投放阶段,GenAI的使用正在不断增加。”
“事实上,黑客从GenAI中获得了诸多好处,从扩大攻击规模、创建可能提高感染率的变种,到使网络防御者更难进行归因。”
不仅如此,黑客还创建了GitHub存储库,宣传视频游戏作弊和修改工具,以便使用.NET释放器部署Lumma Stealer恶意软件。
惠普安全实验室的首席威胁研究员亚历克斯·霍兰德(Alex Holland)表示:“分析过的这些攻击活动进一步证明了网络犯罪的商品化。随着数字恶意软件工具包更加自由、实惠和易用,即使技能有限、知识有限的新手也能拼凑出有效的感染链。”
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
