一款名为PhantomVAI的高级定制恶意加载器现身全球钓鱼攻击活动,专门向被攻陷的系统投放各类信息窃取木马和远程控制木马(RAT)。
该恶意加载器通过伪装成正规软件,并利用进程中空技术将恶意载荷注入 Windows 系统进程的方式实施攻击。
多家机构的安全研究人员均对该威胁进行了溯源记录,却为其赋予了不同命名,这导致网络安全界对该恶意程序的真实身份和攻击能力产生了认知混淆。该加载器借助嵌入在恶意邮件附件和链接中的多种钓鱼诱饵,针对全球用户发起定向攻击。
一旦被执行,PhantomVAI 会远程下载恶意载荷,并将其注入 Windows 合法系统进程中,大幅提升安全检测的难度。
目前已证实,该恶意软件在多个地区投放了多款知名恶意程序,包括 Remcos、XWorm、AsyncRAT、DarkCloud 和 SmokeLoader。
英特林赛克(Intrinsec)的安全分析师发现,多家安全厂商均独立对该加载器开展了分析记录,却将这一同一威胁命名为 VMDetectLoader、Caminho Loader 等不同名称。
这种命名不一致的现象,根源在于不同机构对该加载器的各类组件进行了单独拆解分析。
研究人员经核查确认,该加载器的所有变种均具备三大核心特征:代码中包含 “VAI” 核心方法、内置葡萄牙语字符、伪装成基于 GitHub 正规项目开发的Microsoft.Win32.TaskScheduler.dll文件。
技术架构与执行流程
该加载器的核心攻击功能依托一款名为Mandark的 RunPE 工具实现,该工具由黑客论坛 HackForums 用户 “gigajew” 开发,并于数年前完成开源。
这款 RunPE 工具通过创建挂起状态的合法系统进程、解除其内存映射、注入恶意代码的步骤完成进程中空攻击。
加载器代码中出现的hackforums.gigajew命名空间,直接印证了其与这款原版工具的溯源关联。
PhantomVAI 会专门滥用微软 Windows 任务计划程序库的2.11.0.0 正规版本,以此规避安全检测。
该恶意软件会从下载的恶意载荷文件头中提取关键字段,包括镜像大小、文件头大小、程序入口点以及基地址。
随后其会启动一个宿主进程,分配具备读 / 写 / 执行全权限的内存空间,并将 PE 文件头和所有节区完整复制至该内存空间。
在恢复线程并执行恶意载荷前,该加载器会对处理器寄存器进行补丁修复,确保导入表解析和内存重定位操作能够正常执行。
该威胁疑似采用加载器即服务的运营模式,这一点从其投放的恶意载荷类型繁多、且支持将任意载荷的 URL 作为参数传入这两大特征中可得到明确印证。
这种模式让多个威胁行为者能够共用同一套攻击基础设施发起不同的恶意攻击活动,也是该威胁在全球范围内大规模扩散的核心原因。
发表评论
您还未登录,请先登录。
登录