由越南“孤独无”威胁行为者组织策划的一场复杂恶意软件攻击活动,一直在利用欺诈性的版权侵权下架通知,向毫无防备的受害者系统部署信息窃取型恶意软件。
这场自2024年11月起就被密切追踪的活动,体现了社会工程策略令人担忧的演变——它利用正当的法律担忧来绕过传统的安全意识措施。
这种恶意操作主要围绕着仿冒全球各地多家律师事务所的伪造电子邮件通信展开,声称受害者的Facebook页面或网站存在版权侵权行为。
这些精心设计的电子邮件提及了收件人真实的Facebook账户,增添了令人不安的真实感,从而提高了欺骗成功的可能性。
这些威胁行为者展现出了显著的语言多样性,他们创建了至少十种不同语言的电子邮件模板,包括英语、法语、德语、韩语、中文和泰语,可能是利用机器翻译工具来扩大其全球影响力。
Cofense的分析师们认为这场攻击活动特别危险,因为它投放了两种主要的恶意软件有效载荷:Pure Logs窃取器和一种新发现的信息窃取器,被称为Lone None窃取器,也称为PXA窃取器。
该活动的复杂程度远超传统恶意软件的分发方式,它采用了新颖的技术,例如利用Telegram机器人账号存储有效载荷URL,并借助海海软件PDF阅读器等合法程序来规避检测机制。
攻击链始于受害者收到包含嵌入式链接的版权下架邮件,这些链接通过tr.ee和goo.su等URL缩短服务进行重定向,最终指向Dropbox和MediaFire等文件共享平台。
这些归档文件包含合法文档和恶意组件的混合内容,在掩盖真实恶意意图的同时,营造出一种真实可信的假象。
高级感染机制与有效载荷交付
此次恶意软件攻击活动的技术实施在其多阶段感染过程中展现出了极高的复杂性。
用户点击恶意链接后,会下载一个包含合法程序的压缩文件,该程序通常是海海软件PDF阅读器,但已被恶意篡改,用于加载一个充当Python安装程序的恶意动态链接库(DLL)。
感染链通过一系列精心策划的合法Windows工具来解码并执行最终载荷,逐步推进。
恶意的动态链接库(DLL)利用了Windows内置工具certutil.exe(该工具原本用于证书管理)来解码一个伪装成PDF文档的归档文件,而该文件中包含了实际的恶意软件组件。
以下命令展示了这种技术:-
cmd /c cd _ && start Document.pdf && certutil -decode Document.pdf Invoice.pdf && images.png x -ibck -y Invoice.pdf C:\\Users\\Public成功解码后,该活动会利用一个捆绑的WinRAR可执行文件(其欺骗性地命名为“images.png”),将解码后的压缩包内容提取到C:\Users\Public目录中。
这种位置选择具有策略性,因为它在无需管理员权限的情况下提供了写入权限,同时能在用户会话中保持持久性。
提取的Python安装包包含一个名为“svchost.exe”的恶意解释器可执行文件,该文件会运行经过混淆处理的Python脚本,这些脚本旨在与Telegram机器人命令和控制基础设施建立通信。
该恶意软件通过修改Windows注册表来实现持久化,具体是在HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中创建启动项,以确保系统重启后仍能继续执行。
一个典型的Lone None Stealer样本的完整执行流程图,展示了从初始感染到最终有效载荷部署的复杂多阶段过程。
该活动将Telegram机器人同时用作有效载荷交付机制和命令与控制基础设施,这代表着一种显著的战术演进,使威胁行为者能够在利用合法通信平台规避传统网络检测方法的同时,维持操作安全性。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
