Splunk 威胁研究团队(STRT)发现了一种新变体的 .NET 隐写恶意软件加载器,该加载器将恶意载荷隐藏在图像文件中,并最终部署 LokiBot——目前传播最持久的凭据窃取木马之一。
2025 年 8 月,Splunk 研究人员曾分析过一个使用隐写术交付 Quasar RAT 等恶意软件的 .NET 加载器。但在调查新样本时,他们发现了一个修改版本,其中包含额外的规避模块。
研究人员解释:
“我们发现了一些有趣的恶意软件样本,它们采用了这种加密器或隐写加载器的修改版本……该变体包含一个专门设计的额外模块,用于进一步逃避检测并阻碍载荷提取。”
伪装与分发
这个新加载器伪装成合法文档(如报价请求书,RFQ),诱骗受害者打开。
STRT 指出:
“此加载器样本……通过使用‘报价请求书(RFQ)’等常见商业术语伪装成合法业务文档,以引诱用户。”
技术升级:容器模块与运行时解密
与之前直接在主 .NET 二进制文件中存储恶意图像资源的变体不同,新加载器在运行时解密一个单独的“容器”模块。
Splunk 表示:
“它解密并加载一个额外模块……仅作为容器,容纳加载器使用的两个独立模块。”
“这些加载器阶段(stagers)隐藏在嵌入 .NET 资源元数据的两个图像文件中。”
图像文件中的隐藏载荷
容器包含两个图像文件:
- crc.bmp
- IVBD.png
这两个文件均包含隐藏的加载器组件,使用与早期 Quasar RAT 加载器相同的算法加密。
STRT 指出:
“这是隐写加载器的新变体……该变体将图像存储在单独的‘容器’模块中……仅在运行时解密和加载,使静态检测工具和自动化载荷提取更加困难。”
载荷提取过程
研究团队尝试使用其 PowerShell 隐写工具 PixDig 提取载荷,但由于模块加载不兼容,工具出现错误。
在修改 PixDig 以强制直接解码 BMP 和 PNG 文件后,研究人员成功提取了隐藏在图像中的两个加载器阶段模块。通过对第二个阶段模块运行简单的解密脚本,最终揭示了终极载荷:LokiBot。
LokiBot:长期活跃的信息窃取者
解密后,STRT 确认最终阶段的恶意软件为 LokiBot——全球分布最广泛的信息窃取者之一。
LokiBot 已存在超过十年,其攻击目标包括:
- 浏览器密码
- 电子邮件客户端
- FTP 工具
- 密码管理器
- 加密货币钱包
- Windows 凭据
- 应用程序配置文件
STRT 强调其持续威胁:
“恶意软件作者继续使用最新加载器分发 LokiBot……表明该恶意软件的部署策略仍在持续活动和更新。”
Splunk 威胁研究团队的分析证实,恶意软件生态系统中的隐写加载器正变得越来越复杂。通过将代码隐藏在图像文件中、在运行时解密模块,以及跨多种文件格式分层部署加载器阶段,威胁行为者显著增加了静态检测和自动化分析的难度。
这种新的加载器变体及其对 LokiBot 的部署表明,即便是长期存在的恶意软件家族,攻击者仍在不断创新。
发表评论
您还未登录,请先登录。
登录