行业新闻与博客

无文件恶意软件利用 Google Blogspot 在内存中部署信息窃取程序

一种无文件恶意软件框架利用谷歌的 Blogspot 平台,将 PureLog Stealer 完全部署在内存中,使攻击者能够在窃取凭据的同时,在磁盘上几乎不留下任何痕迹。

Securonix 威胁研究公司将该框架命名为 Veil#Drop,并表示该攻击活动将受感染的网站、带有陷阱的 JavaScript 文件和 PowerShell 连接起来,以达到其目标。

PureLog Stealer 是一个知名的 .NET 信息窃取程序,但其多阶段交付方式才是该程序的独特之处。

一种旨在逃避检测的无文件链

攻击始于受害者在被入侵的网站上打开一个伪装成文档的文件。由于 Windows 默认隐藏已知文件扩展名,该文件看起来像是一个 PDF 文件,但实际上是一个由 Windows 脚本宿主运行的脚本,该脚本会启动 PowerShell,但禁用了安全检查。

之后,PowerShell 直接从攻击者控制的 Blogspot 页面获取其后续阶段,并在内存中运行它们,而无需将任何文件写入磁盘。

该公司表示,将有效载荷托管在谷歌拥有的基础设施上,可以让流量与正常的网络活动混为一谈,从而绕过基于声誉的防御措施。

后续阶段将内容隐藏在自定义的异或编码之后,仅在运行时进行解码。研究人员表示,最终加载器从编码数据重建了两个 .NET 程序集,并使用反射将其直接加载到内存中,因此不会生成任何可执行文件,从而避免被杀毒软件扫描。

为了确保即使该路径被阻止,有效载荷也能运行,Veil#Drop 会回退到受信任的 Microsoft 签名二进制文件或 LOLBIN,循环使用 RegSvcs 、 InstallUtil 和 MSBuild 等实用程序,直到其中一个成功为止。

由于这些二进制文件是 .NET 框架的合法组成部分,因此该活动经常绕过应用程序控制和允许列表规则。

PureLog 窃取了什么

PureLog Stealer 一旦运行,其功能就不仅仅是简单的凭证窃取,它还会扫描机器以查找浏览器密码、 cookie 、自动填充数据、加密货币钱包和主机本身的详细信息。

Securonix 警告称,被盗的会话 cookie 可以让攻击者通过重用受害者的登录会话来绕过多因素身份验证 (MFA) 。

该公司解释说:“在许多情况下,窃取信息的恶意软件背后的运营者会通过地下市场出售窃取的凭证,使其他威胁行为者能够购买对被入侵帐户和环境的访问权限。”

Securonix 还敦促防御者注意 Veil#Drop 背后的行为,例如 PowerShell 连接到 Blogspot 或生成 .NET 实用程序,而不是仅仅依赖静态指标。

需要帮助吗?联系我们的支持团队 在线客服