“暗云窃取者”(DarkCloud Stealer)最近已成为一个强大的威胁,它通过具有说服力的钓鱼攻击活动针对金融机构。攻击者利用伪装成合法文档的武器化RAR附件,来投放基于JavaScript的多阶段有效载荷。
打开压缩包后,受害者会执行一个VBE脚本,该脚本利用Windows脚本宿主启动隐藏在看似无害的图像文件中的PowerShell下载器。
这种初始访问向量利用了用户对常规财务通信的信任,触发了一系列旨在规避传统安全控制的自动解码和解密步骤。
2025年9月初,安全团队发现,发送至银行业企业电子邮件账户的恶意RAR附件数量急剧上升。
CyberProof的分析师发现,名为“Proof of Payment.rar”的压缩包包含一个VBE脚本,该脚本执行时会调用PowerShell下载一个嵌入的JPG文件,文件名为universe-1733359315202-8750.jpg。
窃取者的加载器隐藏在这张图片中,解码程序直接从图像像素数据中提取.NET DLL模块。
CyberProof的研究人员指出,该PowerShell脚本会严格检查内存偏移量,以定位独特的BMP头模式,然后提取加载程序DLL。
以下代码片段展示了用于扫描下载的图像字节的核心循环:-
for ($i=0; $i -lt $data.Length - $header. Length; $i++) {
$match = $true
for ($j=0; $j -lt $header.Length; $j++) {
if ($data[$i + $j] -ne $header[$j]) { $match = $false; break }
}
if ($match) { $offset = $i; break }
}一旦DLL在内存中重建,该脚本就会调用[Reflection.Assembly]::Load()来执行加载程序,整个过程不会接触磁盘。
持久化与凭据窃取
加载到内存后,DarkCloud Stealer 通过将 JavaScript 有效载荷复制到 Windows 运行注册表项(伪装成 MSBuild.exe 的M3hd0pf.exe)来建立持久性,确保在每次用户登录时执行。
随后,该窃取程序利用进程空洞技术注入到MSBuild.exe和mtstocom.exe等合法进程中,从而能够从Chrome的Login Data等浏览器数据库中窃取保存的凭据。
来自端点检测平台的警报证实了数据保护应用程序编程接口(DPAPI)访问事件以及对浏览器进程的内存映射,这揭示了有人试图直接在内存中解密存储的密码。
最后,被盗数据被存放在用户目录中,并通过FTP和HTTP渠道窃取到动态域名集群(.shop、.xyz),这使得基于网络的检测变得复杂。
金融机构应密切监控异常的VBE/VBS执行、意外的注册表Run键修改以及公共下载文件夹中的JavaScript文件,以便快速检测并阻止这一阴险的攻击活动。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
