据The Hacker News消息，惠普沃尔夫安全公司发现有网络攻击者在图片中隐藏恶意代码，以传播 VIP Keylogger 和 0bj3ctivity Stealer 等恶意软件。

根据该公司与The Hacker News 共享的《2024年第三季度威胁洞察报告》，在两起活动中，攻击者都在上传到文件托管网站archive[.]org的图片中隐藏了恶意代码，并使用相同的.NET加载器安装最终有效载荷。

攻击活动的初始都是伪装成发票和采购订单的钓鱼电子邮件，诱骗收件人打开恶意附件，如 Microsoft Excel 文档，打开后会利用公式编辑器中的已知安全漏洞CVE-2017-11882 下载 VBScript 文件。该脚本旨在解码并运行一个 PowerShell 脚本，检索 archive[.org 上托管的图片并提取 Base64 编码，随后将其解码为 .NET 可执行文件并执行。

.NET可执行文件充当加载器，从给定的URL下载VIP监控程序并运行，让攻击者从受感染的系统中窃取大量数据，包括击键、剪贴板内容、屏幕截图和凭证。VIP Keylogger 与 Snake Keylogger 和 404 Keylogger 在功能上有重叠之处。

另一个活动通过电子邮件向目标发送恶意存档文件的活动。这些伪装成询价的邮件旨在诱使访问者打开归档文件中的 JavaScript 文件，然后启动 PowerShell 脚本。与前一个案例一样，PowerShell 脚本从远程服务器下载图片，解析其中的 Base64 编码，然后运行相同的基于 .NET 的加载程序。不同的是，攻击链的核心是部署一个名为 0bj3ctivity 的信息窃取程序。

这两个活动之间的相似之处表明，攻击者正在利用恶意软件工具包来提高整体效率，同时降低制作攻击所需的时间和技术专长。

惠普沃尔夫安全公司表示，该公司观察到攻击者采用 HTML 偷渡技术，通过 AutoIt程序植入 XWorm 远程访问木马（RAT），与之前以类似方式传播 AsyncRAT 的活动如出一辙。

沃尔夫安全公司还发现，HTML 文件的特征表明，生成式AI参与了代码编写，表明在攻击链的初始访问和恶意软件交付阶段，AI的使用越来越多。

该公司指出，如今的生成式AI，让攻击者在扩大攻击规模、创造可提高感染率的变体，到增加网络防御者的归因难度等方面都可以带来帮助。

另外，由于现在的恶意软件工具包更加实惠和易用，即使是技能和知识有限的新手黑客也能组建有效的感染链。

来源：Hackers Hide Malware in Images to Deploy VIP Keylogger and 0bj3ctivity Stealer

【安全圈】2024年12月涉国内数据泄露事件汇总

【安全圈】TikTok计划本周日关停美国业务

【安全圈】超过 660,000 个 Rsync 服务器遭受代码执行攻击

【安全圈】Fortinet 又被确认存在新的零日漏洞

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！