最近发现了一场采用隐写术技术的复杂恶意软件攻击活动,其通过看似无害的 JPEG 图像文件来针对用户。
这种攻击利用了嵌入在图像文件中的隐藏恶意代码,一旦这些代码被执行,就会启动一系列复杂的事件,旨在从受害者的系统中窃取敏感信息。
这种新威胁标志着恶意软件传播方式的一种令人担忧的演变,它将社会工程学与先进的混淆技术结合了起来。
攻击始于引诱受害者下载看似是标准 JPEG 文件的内容。
然而,这些图像中包含了隐藏的恶意脚本,常规的安全措施无法检测到这些脚本。
一旦访问了受感染的文件,嵌入的代码就会在后台悄无声息地启动。
Broadcom的分析师检测到,该恶意软件采用了一个多阶段的感染过程,首先是从图像文件中提取隐藏的有效载荷。
研究人员在其技术分析中指出:“在这次攻击活动中使用的隐写术技术特别复杂,这使得传统的安全工具很难进行检测。”
恶意软件一旦被执行,就会瞄准浏览器、电子邮件客户端和 FTP 应用程序中的凭据存储库。
然后,提取到的数据会被泄露到命令与控制服务器,同时还会下载额外的有效载荷,其中包括Vidar、Raccoon和Redline等已知信息窃取程序家族的定制版本。
攻击分析
恶意软件的编写者使用了先进的混淆技术,包括在 PowerShell 脚本中使用 Base64 编码来逃避检测。
从 JPEG 文件中提取出的初始脚本,会使用 Windows 脚本宿主以最小的可见性来执行命令。
已识别出的恶意代码包括从多个浏览器中收集凭据的指令,还有针对 cookie 文件、已保存密码和表单数据的特定功能。
有几种安全产品可以防范这种威胁,具体的检测特征码包括 ACM.Ps-Base64!g1、ISB.Downloader!gen80 和 Heur.AdvML.B。
建议用户在从未知来源下载图像文件时要谨慎行事,并确保其安全解决方案已更新为最新的特征库。
发表评论
您还未登录,请先登录。
登录