网络安全公司 CYFIRMA 揭露了一场极为复杂的恶意软件攻击活动,该活动利用 JavaScript 与命令控制(C2)服务器建立秘密通信。这条新发现的攻击链采用了先进的混淆技术、隐写术以及对合法服务的滥用,以便在窃取用户敏感数据的同时躲避检测。根据 CYFIRMA 的分析,攻击始于一个经过混淆处理的 JavaScript 文件,该文件从一个开源服务中检索编码字符串。这些字符串会触发一个 PowerShell 脚本,该脚本负责下载额外的有效载荷,其中包括一张 JPG 图像和一个文本文件。然而,这些文件中巧妙地隐藏着使用隐写技术处理过的恶意 MZ DOS 可执行文件。一旦执行,攻击最终会部署Stealer恶意软件,该恶意软件会收集凭据、浏览器数据和系统信息,然后将窃取的数据传输给攻击者控制的 Telegram 机器人。这种多层混淆以及对基于云的合法媒体托管服务的利用,使得该恶意软件能够避开传统安全机制的检测。CYFIRMA 报告称:“此次攻击利用了多层混淆、用于托管有效载荷的合法网络服务以及加密通信,这给检测和缓解工作带来了挑战。”恶意软件的dropper脚本经过了高度混淆,采用了 Unicode 字符处理、运行时代码求值(eval ())以及对 ActiveX 的滥用。这使得静态和动态分析都无法进行,增加了检测难度。网络犯罪分子利用合法的云服务进行 C2 通信和有效载荷托管。一个开源媒体平台被用于存储一张看似无害的 JPG 图像,而实际上该图像中嵌入了恶意的.NET 程序集。这使得恶意软件能够混入正常的网络流量,绕过传统的安全扫描。为了进一步躲避检测,攻击者采用隐写术将经过 Base64 编码的.NET 程序集隐藏在图像中。当这些图像被恶意软件处理时,隐藏的代码会被提取并执行,这使得传统的内容检测工具无法将它们标记为恶意文件。一旦恶意有效载荷被提取出来,.NET 程序集就会直接从内存中执行,这是一种被称为反射加载的技术。这种方法避免在磁盘上留下痕迹,减少了取证证据,也让基于文件的防病毒解决方案难以检测到。这场攻击活动利用了诸如 ActiveX 对象(WScript.Shell、Scripting.FileSystemObject)和 PowerShell 脚本等旧技术与系统进行交互。这使得攻击者能够执行任意命令,并有助于动态提取有效载荷以及在内存中执行。与通过被入侵的 Web 服务器进行通信的传统恶意软件不同,这场攻击活动使用由 Telegram 机器人控制的 C2 服务器传输窃取的数据。这为网络犯罪分子提供了一种加密且持久的方法来获取受害者数据,同时绕过了许多传统的网络安全措施。CYFIRMA 警告称:“在这个框架中整合.NET 有效载荷,可能使攻击者能够部署各种后续威胁,包括勒索软件、信息窃取软件和后门程序。”
