Trellix 高级研究中心(ARC)近期发布的一项分析披露了一款高度隐蔽的信息窃取恶意软件 0bj3ctivityStealer。该恶意软件通过精心设计的钓鱼攻击、自定义 PowerShell 加载器以及图像隐写术,实现了绕过安全检测并从多种应用中窃取用户敏感数据的目的,展现出极强的隐蔽性与复杂性。
攻击链条:从伪装订单到多层次载荷投递
攻击最初通过一封主题为“报价单”的钓鱼邮件展开,附件中包含一张模糊的伪订单图片,诱导受害者点击“下载”链接获取高清版本。该链接指向文件分享平台 MediaFire,下载的则是一个经过严重混淆的 JavaScript 文件,作为第一阶段的恶意载荷。
恶意钓鱼邮件 | 图片来源:Trellix
“该 JavaScript 文件总计超过 3000 行代码,真正起作用的代码仅有约 60 行,其余部分均为混淆内容,目的是隐藏真正的 PowerShell 载荷。”报告指出。
随后,脚本会通过 PowerShell 下载一张看似普通的 JPG 图片(托管于 Archive.org),但这张图片中却隐藏着下一阶段的有效载荷——一个 .NET DLL 加载器。攻击者采用了图像隐写术,将代码藏匿在像素数据中。
“脚本会逐像素读取 RGB 值,提取并还原出包含有效载荷和干扰数据的缓冲区。”报告进一步解释道。
反分析与规避机制
虽然核心代码本身没有采用极端混淆手段,但 0bj3ctivityStealer 运用了多种防分析技术,增加逆向工程的难度:
· 基于 Base64 的字符串编码,辅以简单的减法加密
· 函数与变量名称随机化
· 添加冗余代码并平坦化执行流程混淆逻辑
· 虚拟环境与调试器检测,如发现运行在沙箱或虚拟机中将自动终止并删除自身
“一旦检测到调试或虚拟化环境,木马会立即停止执行并自我删除。”报告指出。
广泛的数据窃取范围
该木马具备极强的信息收集能力,覆盖范围广泛,包括:
· 系统信息:设备名、操作系统、公网 IP、硬件配置、已安装应用等
· 浏览器数据:密码、Cookie、浏览历史、信用卡信息(支持 Chromium 与 Gecko 内核)
· 通信应用:Telegram、Signal、Discord、Element、Pidgin 等多款聊天工具
· 邮件客户端:Outlook、Windows Messaging、Foxmail 等账户凭证
· 加密货币钱包:支持本地钱包应用和浏览器插件(如 MetaMask、Phantom、Binance)
其中,针对加密通讯工具的攻击不会尝试解密,而是直接窃取相关文件。
此外,该木马还内置了剪贴板监听功能,虽然尚未完全实现,但具有未来劫持加密钱包地址的潜力,这是金融类恶意软件常用的手段之一。
通信方式:不与 C2 服务器互动,依赖 Telegram Bot 单向通信
不同于传统木马通过动态命令与控制(C2)服务器进行双向交互,0bj3ctivityStealer采用更加隐秘的单向信息上传方式,主要依赖 Telegram Bot 进行数据传输。
“所有功能将被循环执行,数据在每轮收集后立即通过 Telegram 发出。”报告称。
虽然样本中也包含 SMTP(邮件)传输模块,但此次分析中该功能尚未激活。
攻击范围广泛,但不具定向性
遥测数据显示,该木马攻击面广泛,主要在美国、德国和黑山等国家被检测到,且攻击目标并不具有明显定向性,更像是机会主义式攻击。
然而,值得关注的是,被感染的目标多集中于政府机构与制造业公司,这也引发了人们对于关键基础设施数据泄露可能造成严重后果的担忧。
这场针对性不强但技术精湛的信息窃取活动,再次敲响了网络安全警钟,提醒政府与企业在日常运营中加强钓鱼邮件防范与系统安全加固,尤其要警惕利用隐写术与 PowerShell 的多层次恶意载荷组合攻击。
发表评论
您还未登录,请先登录。
登录