近期，安全研究人员发现，攻击者通过将恶意代码隐藏在图片中，分别传播VIP键盘记录器和0bj3ctivity信息窃取器。惠普Wolf Security在其2024年第三季度的《威胁洞察报告》中指出：“在这两起攻击活动中，攻击者将恶意代码隐藏在图片中，并上传至文件托管网站archive[.]org，随后使用相同的.NET加载器来安装最终的有效载荷。”

攻击手法：钓鱼邮件与图片隐藏恶意代码

攻击的起点是一封伪装成发票或采购订单的钓鱼邮件，诱使收件人打开恶意附件，例如Microsoft Excel文档。一旦打开，这些文档会利用Equation Editor中的一个已知安全漏洞（CVE-2017-11882）下载一个VBScript文件。

该脚本的作用是解码并运行一个PowerShell脚本，该脚本从archive[.]org下载一张图片，并提取其中的Base64编码代码。随后，这段代码被解码为.NET可执行文件并执行。这个.NET可执行文件作为加载器，从指定URL下载VIP键盘记录器并运行，使攻击者能够从受感染的系统中窃取大量数据，包括键盘输入、剪贴板内容、屏幕截图和凭证。VIP键盘记录器与Snake键盘记录器和404键盘记录器在功能上有相似之处。

类似攻击：恶意压缩文件与信息窃取器

另一项类似的攻击活动通过电子邮件向目标发送恶意压缩文件。这些邮件伪装成报价请求，诱使收件人打开压缩包中的JavaScript文件，该文件随后启动一个PowerShell脚本。

与之前的攻击类似，PowerShell脚本从远程服务器下载一张图片，解析其中的Base64编码代码，并运行相同的基于.NET的加载器。不同的是，这次攻击链最终部署的是一个名为0bj3ctivity的信息窃取器。

攻击趋势：恶意软件工具包的普及与GenAI的运用

这两起攻击活动的相似之处表明，攻击者正在利用恶意软件工具包来提高整体效率，同时减少攻击所需的时间和技术门槛。惠普Wolf Security还指出，攻击者正在使用HTML走私技术，通过AutoIt加载器投放XWorm远程访问木马（RAT），这与之前以类似方式分发AsyncRAT的活动如出一辙。

值得注意的是，这些HTML文件显示出使用生成式人工智能（GenAI）编写的迹象。惠普表示：“这些活动表明，GenAI在攻击链的初始访问和恶意软件投放阶段的使用正在增加。事实上，攻击者可以从GenAI中获得诸多好处，包括扩大攻击规模、创建变种以提高感染率，以及增加网络防御者的归因难度。”

恶意软件工具包的普及化

此外，攻击者还被发现创建GitHub仓库，宣传视频游戏作弊和修改工具，以部署Lumma Stealer恶意软件，并使用.NET加载器进行传播。惠普安全实验室的首席威胁研究员Alex Holland表示：“这些攻击活动进一步证明了网络犯罪的商品化趋势。随着恶意软件工具包的广泛可用、价格低廉且易于使用，即使是技能和知识有限的新手，也能构建出有效的感染链。”

通过这些攻击活动，我们可以看到，网络攻击者正在利用越来越复杂的技术和工具，使得网络防御变得更加困难。

参考来源：

Hackers Hide Malware in Images to Deploy VIP Keylogger and 0bj3ctivity Stealer

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）