一场持续进行的钓鱼活动正针对法语企业环境，通过虚假简历投递加密货币挖矿程序和信息窃取工具。

Securonix研究人员Shikha Sangwan、Akshay Gaikwad和Aaron Beardslee在与The Hacker News分享的报告中指出：”该活动使用高度混淆的VBScript文件伪装成简历文档，通过钓鱼邮件投递。一旦执行，恶意软件即部署多功能工具包，集凭证窃取、数据外泄和门罗币挖矿于一体，实现收益最大化。”

这家网络安全公司将此活动命名为FAUX#ELEVATE。该活动的特点是滥用合法服务和基础设施：使用Dropbox存放载荷、摩洛哥WordPress站点托管C2配置、mail[.]ru SMTP基础设施外泄窃取的浏览器凭证和桌面文件。

这是典型的”离地生存”式攻击，展示了攻击者如何欺骗防御机制、悄无声息地渗透目标系统。

攻击链分析

初始投递文件为Visual Basic脚本（VBScript），打开时显示法语错误信息，诱使收件人以为文件损坏。实则高度混淆的脚本在后台运行一系列检查以规避沙箱，并进入持久的用户账户控制（UAC）循环，提示用户以管理员权限运行。

值得注意的是，脚本共224,471行中仅266行为实际可执行代码，其余均为填充的随机英文句子垃圾注释，将文件膨胀至9.7MB。

研究人员表示：”恶意软件还利用WMI（Windows管理规范）实施域加入检测，确保载荷仅在企业机器上投递，家用独立系统完全被排除。”

投递程序获取管理员权限后，立即禁用安全控制并掩盖痕迹：为所有主驱动器盘符（C至I）配置Microsoft Defender排除路径，通过修改Windows注册表禁用UAC，并自我删除。

随后从Dropbox获取两个受密码保护的7-Zip压缩包：

• gmail2.7z：包含数据窃取和加密货币挖矿的可执行文件

• gmail_ma.7z：包含持久化和清理工具

凭证窃取组件利用ChromElevator项目，绕过应用绑定加密（ABE）保护从Chromium内核浏览器提取敏感数据。其他工具包括：

• mozilla.vbs：窃取Mozilla Firefox配置文件和凭证的VBScript

• walls.vbs：外泄桌面文件的VBScript载荷

• mservice.exe：XMRig加密货币挖矿程序，从被入侵的摩洛哥WordPress站点获取挖矿配置后启动

• WinRing0x64.sys：合法Windows内核驱动，用于解锁CPU完整挖矿性能

• RuntimeHost.exe：持久化木马组件，修改Windows防火墙规则并定期与C2服务器通信

浏览器数据通过两个mail[.]ru发件账户（”[email protected]“和”[email protected]“，共享相同密码）经SMTP外泄至威胁行为体控制的另一邮箱（”[email protected]“）。

凭证窃取和外泄完成后，攻击链立即清理所有投递工具以最小化取证痕迹，仅保留挖矿程序和木马组件。

Securonix总结：”FAUX#ELEVATE活动展示了一场组织严密的多阶段攻击行动，将多种技术整合为单一感染链。对企业安全团队而言，该活动尤为危险之处在于执行速度——从初始VBS执行到凭证外泄，完整感染链仅需约25秒；以及对企业域加入机器的选择性瞄准，确保每台被入侵主机都能通过企业凭证窃取和持久化资源劫持提供最大价值。”