黑客利用图像隐藏恶意软件、部署 VIP 键盘记录器和 0bj3ctivity 窃取程序
根据 HP Wolf Security 2024 年第三季度威胁洞察报告,网络犯罪分子正在通过将恶意代码嵌入图像文件中来传播 VIP Keylogger 和 0bj3ctivity Stealer 等恶意软件,将其隐身战术提升到一个新的水平。这些复杂的活动利用 Archive.org 等受信任的平台来传播恶意软件,同时绕过传统的检测方法。
目录
攻击如何运作:恶意软件隐藏在图像中
这些活动始于一封钓鱼电子邮件,旨在诱骗受害者打开恶意附件。这些电子邮件通常模仿发票或采购订单以建立可信度。一旦打开,附件就会触发对过时的 Microsoft 公式编辑器漏洞 ( CVE-2017-11882 ) 的利用,以下载 VBScript 文件。
攻击链
- 网络钓鱼电子邮件:受害者收到包含恶意附件的欺骗性电子邮件。
- VBScript 执行:下载的 VBScript 运行 PowerShell 脚本。
- 图像检索:PowerShell 从 Archive.org 下载图像。
- 恶意代码提取:图像包含 Base64 编码的恶意软件,该恶意软件被提取并解码为 .NET 可执行文件。
- 有效负载传递:.NET 加载器安装最终的恶意软件有效负载。
在第一个活动中,此有效载荷是 VIP Keylogger,这是一种旨在捕获击键、剪贴板内容、屏幕截图和凭据的工具。在第二个活动中,有效载荷是 0bj3ctivity Stealer,这是一种信息窃取恶意软件。
恶意软件工具包降低了攻击者的门槛
两起攻击活动的相似之处表明,网络犯罪分子正在利用恶意软件工具包。这些工具包简化了攻击过程,减少了执行复杂感染链所需的技术专业知识。这一趋势反映了网络犯罪日益商品化,预制工具让即使是新手攻击者也能更轻松地部署恶意软件。
使用的其他技术
HP Wolf Security 还发现 HTML 走私是一种补充策略。在这种方法中,攻击者使用隐藏在恶意 HTML 文件中的 AutoIt 植入程序来传播XWorm RAT等恶意软件。据报道,其中一些文件是使用 GenAI 工具生成的,展示了人工智能如何用于增强恶意软件传播和混淆。
GitHub 活动传播 Lumma 窃取程序
另一项值得注意的活动涉及使用 GitHub 存储库,这些存储库伪装成视频游戏作弊和修改工具的来源。这些存储库通过基于 .NET 的植入程序秘密分发Lumma Stealer恶意软件,突显了攻击者如何利用流行平台来攻击毫无戒心的用户。
为什么基于图像的攻击如此危险
在图片中嵌入恶意软件是一种称为隐写术的技术,它将恶意代码隐藏在看似无害的文件中。这种方法可以绕过许多防病毒系统,因为这些系统不太可能仔细检查图片文件。使用 Archive.org 等受信任的托管平台进一步使检测工作复杂化。
组织的缓解策略
为了防御这些不断演变的威胁,组织应实施以下措施:
- 修补已知漏洞:解决过时的软件漏洞,如 CVE-2017-11882。
- 启用高级威胁检测:使用能够检测隐写术和可疑文件行为的解决方案。
- 教育员工:培训员工识别网络钓鱼电子邮件并避免打开意外的附件。
- 限制对可信来源的访问:将文件共享平台的使用限制在批准的域内。
网络犯罪日益商品化
随着恶意软件工具包越来越容易获得,各种技能水平的攻击者都可以组装有效的感染链。恶意软件创建中融入人工智能工具,进一步加大了网络安全防御者的挑战,使攻击更加多样化,更难归因。
HP Wolf Security 的调查结果强调了防范这些不断演变的威胁的紧迫性。通过采用主动防御策略并监控新兴战术,组织可以更好地保护其网络免受这些复杂的攻击。