近期，安全研究人員發(fā)現(xiàn)，攻擊者通過(guò)將惡意代碼隱藏在圖片中，分別傳播VIP鍵盤記錄器和0bj3ctivity信息竊取器?；萜誛olf Security在其2024年第三季度的《威脅洞察報(bào)告》中指出：“在這兩起攻擊活動(dòng)中，攻擊者將惡意代碼隱藏在圖片中，并上傳至文件托管網(wǎng)站archive[.]org，隨后使用相同的.NET加載器來(lái)安裝最終的有效載荷?！?/p>

攻擊手法：釣魚郵件與圖片隱藏惡意代碼

攻擊的起點(diǎn)是一封偽裝成發(fā)票或采購(gòu)訂單的釣魚郵件，誘使收件人打開惡意附件，例如Microsoft Excel文檔。一旦打開，這些文檔會(huì)利用Equation Editor中的一個(gè)已知安全漏洞（CVE-2017-11882）下載一個(gè)VBScript文件。

該腳本的作用是解碼并運(yùn)行一個(gè)PowerShell腳本，該腳本從archive[.]org下載一張圖片，并提取其中的Base64編碼代碼。隨后，這段代碼被解碼為.NET可執(zhí)行文件并執(zhí)行。這個(gè).NET可執(zhí)行文件作為加載器，從指定URL下載VIP鍵盤記錄器并運(yùn)行，使攻擊者能夠從受感染的系統(tǒng)中竊取大量數(shù)據(jù)，包括鍵盤輸入、剪貼板內(nèi)容、屏幕截圖和憑證。VIP鍵盤記錄器與Snake鍵盤記錄器和404鍵盤記錄器在功能上有相似之處。

類似攻擊：惡意壓縮文件與信息竊取器

另一項(xiàng)類似的攻擊活動(dòng)通過(guò)電子郵件向目標(biāo)發(fā)送惡意壓縮文件。這些郵件偽裝成報(bào)價(jià)請(qǐng)求，誘使收件人打開壓縮包中的JavaScript文件，該文件隨后啟動(dòng)一個(gè)PowerShell腳本。

與之前的攻擊類似，PowerShell腳本從遠(yuǎn)程服務(wù)器下載一張圖片，解析其中的Base64編碼代碼，并運(yùn)行相同的基于.NET的加載器。不同的是，這次攻擊鏈最終部署的是一個(gè)名為0bj3ctivity的信息竊取器。

攻擊趨勢(shì)：惡意軟件工具包的普及與GenAI的運(yùn)用

這兩起攻擊活動(dòng)的相似之處表明，攻擊者正在利用惡意軟件工具包來(lái)提高整體效率，同時(shí)減少攻擊所需的時(shí)間和技術(shù)門檻?；萜誛olf Security還指出，攻擊者正在使用HTML走私技術(shù)，通過(guò)AutoIt加載器投放XWorm遠(yuǎn)程訪問(wèn)木馬（RAT），這與之前以類似方式分發(fā)AsyncRAT的活動(dòng)如出一轍。

值得注意的是，這些HTML文件顯示出使用生成式人工智能（GenAI）編寫的跡象?；萜毡硎荆骸斑@些活動(dòng)表明，GenAI在攻擊鏈的初始訪問(wèn)和惡意軟件投放階段的使用正在增加。事實(shí)上，攻擊者可以從GenAI中獲得諸多好處，包括擴(kuò)大攻擊規(guī)模、創(chuàng)建變種以提高感染率，以及增加網(wǎng)絡(luò)防御者的歸因難度。”

惡意軟件工具包的普及化

此外，攻擊者還被發(fā)現(xiàn)創(chuàng)建GitHub倉(cāng)庫(kù)，宣傳視頻游戲作弊和修改工具，以部署Lumma Stealer惡意軟件，并使用.NET加載器進(jìn)行傳播。惠普安全實(shí)驗(yàn)室的首席威脅研究員Alex Holland表示：“這些攻擊活動(dòng)進(jìn)一步證明了網(wǎng)絡(luò)犯罪的商品化趨勢(shì)。隨著惡意軟件工具包的廣泛可用、價(jià)格低廉且易于使用，即使是技能和知識(shí)有限的新手，也能構(gòu)建出有效的感染鏈?！?/p>

通過(guò)這些攻擊活動(dòng)，我們可以看到，網(wǎng)絡(luò)攻擊者正在利用越來(lái)越復(fù)雜的技術(shù)和工具，使得網(wǎng)絡(luò)防御變得更加困難。