DarkCloud – 通过 Telegram 销售的高级窃密恶意软件
HackerNews 编译,转载请注明出处: DarkCloud 是一种自2022年出现的复杂窃密恶意软件,迅速成为该类别中最普遍的威胁之一。 这种针对 Windows 系统的恶意软件已经进化到可以从受感染的系统中提取敏感信息,包括浏览器数据、FTP 凭证、截图、键盘记录和财务信息。 其主要传播方式是通过钓鱼活动,攻击者冒充合法公司或伪装成付款收据或罚款通知。这些攻击经常针对人力资源部门。其他传播途径包括恶意广告、水坑攻击以及与其他恶意软件(如 DbatLoader 或 ClipBanker)一起部署。 安全研究员 REXorVc0 识别了 DarkCloud 的广泛功能,指出该恶意软件采用多阶段感染过程,旨在规避检测。 “这种窃密软件的执行和传播主要由钓鱼活动推动,攻击者冒充了各种公司,”REXorVc0 在其技术分析中解释道。 其影响是巨大的,许多组织因数据窃密功能而受害,丢失了浏览器数据、加密货币钱包和凭证,而攻击者则通过 Telegram 频道进行操作。 DarkCloud 的感染链始于受害者访问恶意链接或下载受感染的文件。 初始载荷通常以压缩文件或脚本的形式交付,启动一个旨在绕过安全控制的多阶段过程。加载程序下载或提取下一阶段的内容,通常采用复杂的混淆技术。一个分析的样本使用了 Base64 编码和 TripleDES 加密: rgbKey = bytes([0x39, 0x1C, 0x8A, 0x9E, 0x80, 0xC2, 0xF8, 0xDF]) rgbIV = bytes([0xA3, 0x4B, 0x1F, 0xEB, 0x28, 0xFE, 0x46, 0xEA]) 最终阶段涉及将窃密程序注入到合法的 Windows 进程中,如 svchost.exe 或 MSBuild。这种技术使 DarkCloud 能够隐秘运行,规避大多数安全解决方案,同时从浏览器、密码管理器和邮件客户端中收集敏感数据,并通过 Telegram 机器人进行数据外泄。 消息来源:Cybersecurity News; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文