行業新聞與博客
無文件惡意軟件利用 Google Blogspot 在內存中部署信息竊取程序
一種無文件惡意軟件框架利用谷歌的 Blogspot 平台,將 PureLog Stealer 完全部署在內存中,使攻擊者能夠在竊取憑據的同時,在磁盤上幾乎不留下任何痕跡。
Securonix 威脅研究公司將該框架命名為 Veil#Drop,並表示該攻擊活動將受感染的網站、帶有陷阱的 JavaScript 文件和 PowerShell 連接起來,以達到其目標。
PureLog Stealer 是一個知名的 .NET 信息竊取程序,但其多階段交付方式才是該程序的獨特之處。
一種旨在逃避檢測的無文件鏈
攻擊始於受害者在被入侵的網站上打開一個偽裝成文檔的文件。由於 Windows 默認隱藏已知文件擴展名,該文件看起來像是一個 PDF 文件,但實際上是一個由 Windows 腳本宿主運行的腳本,該腳本會啓動 PowerShell,但禁用了安全檢查。
之後,PowerShell 直接從攻擊者控制的 Blogspot 頁面獲取其後續階段,並在內存中運行它們,而無需將任何文件寫入磁盤。
該公司表示,將有效載荷託管在谷歌擁有的基礎設施上,可以讓流量與正常的網絡活動混為一談,從而繞過基於聲譽的防禦措施。
後續階段將內容隱藏在自定義的異或編碼之後,僅在運行時進行解碼。研究人員表示,最終加載器從編碼數據重建了兩個 .NET 程序集,並使用反射將其直接加載到內存中,因此不會生成任何可執行文件,從而避免被殺毒軟件掃描。
為了確保即使該路徑被阻止,有效載荷也能運行,Veil#Drop 會回退到受信任的 Microsoft 簽名二進制文件或 LOLBIN,循環使用 RegSvcs 、 InstallUtil 和 MSBuild 等實用程序,直到其中一個成功為止。
由於這些二進制文件是 .NET 框架的合法組成部分,因此該活動經常繞過應用程序控制和允許列表規則。
PureLog 竊取了什麼
PureLog Stealer 一旦運行,其功能就不僅僅是簡單的憑證竊取,它還會掃描機器以查找瀏覽器密碼、 cookie 、自動填充數據、加密貨幣錢包和主機本身的詳細信息。
Securonix 警告稱,被盜的會話 cookie 可以讓攻擊者通過重用受害者的登錄會話來繞過多因素身份驗證 (MFA) 。
該公司解釋説:“在許多情況下,竊取信息的惡意軟件背後的運營者會通過地下市場出售竊取的憑證,使其他威脅行為者能夠購買對被入侵帳户和環境的訪問權限。”
Securonix 還敦促防禦者注意 Veil#Drop 背後的行為,例如 PowerShell 連接到 Blogspot 或生成 .NET 實用程序,而不是僅僅依賴靜態指標。
最近新聞
2026年07月02日
2026年07月02日
2026年06月25日
2026年05月26日
2026年05月26日
2026年05月26日
2026年05月26日
2026年05月26日
需要幫助嗎?聯繫我們的支持團隊 在線客服