近期，安全研究人員發(fā)現(xiàn)，攻擊者通過將惡意代碼隱藏在圖片中，分別傳播VIP鍵盤記錄器和0bj3ctivity信息竊取器?；萜誛olf Security在其2024年第三季度的《威脅洞察報告》中指出：“在這兩起攻擊活動中，攻擊者將惡意代碼隱藏在圖片中，并上傳至文件托管網(wǎng)站archive[.]org，隨后使用相同的.NET加載器來安裝最終的有效載荷。”

攻擊手法：釣魚郵件與圖片隱藏惡意代碼

攻擊的起點是一封偽裝成發(fā)票或采購訂單的釣魚郵件，誘使收件人打開惡意附件，例如Microsoft Excel文檔。一旦打開，這些文檔會利用Equation Editor中的一個已知安全漏洞（CVE-2017-11882）下載一個VBScript文件。

該腳本的作用是解碼并運(yùn)行一個PowerShell腳本，該腳本從archive[.]org下載一張圖片，并提取其中的Base64編碼代碼。隨后，這段代碼被解碼為.NET可執(zhí)行文件并執(zhí)行。這個.NET可執(zhí)行文件作為加載器，從指定URL下載VIP鍵盤記錄器并運(yùn)行，使攻擊者能夠從受感染的系統(tǒng)中竊取大量數(shù)據(jù)，包括鍵盤輸入、剪貼板內(nèi)容、屏幕截圖和憑證。VIP鍵盤記錄器與Snake鍵盤記錄器和404鍵盤記錄器在功能上有相似之處。

類似攻擊：惡意壓縮文件與信息竊取器

另一項類似的攻擊活動通過電子郵件向目標(biāo)發(fā)送惡意壓縮文件。這些郵件偽裝成報價請求，誘使收件人打開壓縮包中的JavaScript文件，該文件隨后啟動一個PowerShell腳本。

與之前的攻擊類似，PowerShell腳本從遠(yuǎn)程服務(wù)器下載一張圖片，解析其中的Base64編碼代碼，并運(yùn)行相同的基于.NET的加載器。不同的是，這次攻擊鏈最終部署的是一個名為0bj3ctivity的信息竊取器。

攻擊趨勢：惡意軟件工具包的普及與GenAI的運(yùn)用

這兩起攻擊活動的相似之處表明，攻擊者正在利用惡意軟件工具包來提高整體效率，同時減少攻擊所需的時間和技術(shù)門檻。惠普Wolf Security還指出，攻擊者正在使用HTML走私技術(shù)，通過AutoIt加載器投放XWorm遠(yuǎn)程訪問木馬（RAT），這與之前以類似方式分發(fā)AsyncRAT的活動如出一轍。

值得注意的是，這些HTML文件顯示出使用生成式人工智能（GenAI）編寫的跡象?；萜毡硎荆骸斑@些活動表明，GenAI在攻擊鏈的初始訪問和惡意軟件投放階段的使用正在增加。事實上，攻擊者可以從GenAI中獲得諸多好處，包括擴(kuò)大攻擊規(guī)模、創(chuàng)建變種以提高感染率，以及增加網(wǎng)絡(luò)防御者的歸因難度。”

惡意軟件工具包的普及化

此外，攻擊者還被發(fā)現(xiàn)創(chuàng)建GitHub倉庫，宣傳視頻游戲作弊和修改工具，以部署Lumma Stealer惡意軟件，并使用.NET加載器進(jìn)行傳播。惠普安全實驗室的首席威脅研究員Alex Holland表示：“這些攻擊活動進(jìn)一步證明了網(wǎng)絡(luò)犯罪的商品化趨勢。隨著惡意軟件工具包的廣泛可用、價格低廉且易于使用，即使是技能和知識有限的新手，也能構(gòu)建出有效的感染鏈?！?/p>

通過這些攻擊活動，我們可以看到，網(wǎng)絡(luò)攻擊者正在利用越來越復(fù)雜的技術(shù)和工具，使得網(wǎng)絡(luò)防御變得更加困難。