近期，安全研究人員發現，攻擊者通過將惡意代碼隱藏在圖片中，分別傳播VIP鍵盤記錄器和0bj3ctivity信息竊取器。惠普Wolf Security在其2024年第三季度的《威脅洞察報告》中指出：“在這兩起攻擊活動中，攻擊者將惡意代碼隱藏在圖片中，并上傳至文件托管網站archive[.]org，隨后使用相同的.NET加載器來安裝最終的有效載荷?！?/p>

攻擊手法：釣魚郵件與圖片隱藏惡意代碼

攻擊的起點是一封偽裝成發票或采購訂單的釣魚郵件，誘使收件人打開惡意附件，例如Microsoft Excel文檔。一旦打開，這些文檔會利用Equation Editor中的一個已知安全漏洞（CVE-2017-11882）下載一個VBScript文件。

該腳本的作用是解碼并運行一個PowerShell腳本，該腳本從archive[.]org下載一張圖片，并提取其中的Base64編碼代碼。隨后，這段代碼被解碼為.NET可執行文件并執行。這個.NET可執行文件作為加載器，從指定URL下載VIP鍵盤記錄器并運行，使攻擊者能夠從受感染的系統中竊取大量數據，包括鍵盤輸入、剪貼板內容、屏幕截圖和憑證。VIP鍵盤記錄器與Snake鍵盤記錄器和404鍵盤記錄器在功能上有相似之處。

類似攻擊：惡意壓縮文件與信息竊取器

另一項類似的攻擊活動通過電子郵件向目標發送惡意壓縮文件。這些郵件偽裝成報價請求，誘使收件人打開壓縮包中的JavaScript文件，該文件隨后啟動一個PowerShell腳本。

與之前的攻擊類似，PowerShell腳本從遠程服務器下載一張圖片，解析其中的Base64編碼代碼，并運行相同的基于.NET的加載器。不同的是，這次攻擊鏈最終部署的是一個名為0bj3ctivity的信息竊取器。

攻擊趨勢：惡意軟件工具包的普及與GenAI的運用

這兩起攻擊活動的相似之處表明，攻擊者正在利用惡意軟件工具包來提高整體效率，同時減少攻擊所需的時間和技術門檻?；萜誛olf Security還指出，攻擊者正在使用HTML走私技術，通過AutoIt加載器投放XWorm遠程訪問木馬（RAT），這與之前以類似方式分發AsyncRAT的活動如出一轍。

值得注意的是，這些HTML文件顯示出使用生成式人工智能（GenAI）編寫的跡象?；萜毡硎荆骸斑@些活動表明，GenAI在攻擊鏈的初始訪問和惡意軟件投放階段的使用正在增加。事實上，攻擊者可以從GenAI中獲得諸多好處，包括擴大攻擊規模、創建變種以提高感染率，以及增加網絡防御者的歸因難度。”

惡意軟件工具包的普及化

此外，攻擊者還被發現創建GitHub倉庫，宣傳視頻游戲作弊和修改工具，以部署Lumma Stealer惡意軟件，并使用.NET加載器進行傳播?；萜瞻踩珜嶒炇业氖紫{研究員Alex Holland表示：“這些攻擊活動進一步證明了網絡犯罪的商品化趨勢。隨著惡意軟件工具包的廣泛可用、價格低廉且易于使用，即使是技能和知識有限的新手，也能構建出有效的感染鏈?！?/p>

通過這些攻擊活動，我們可以看到，網絡攻擊者正在利用越來越復雜的技術和工具，使得網絡防御變得更加困難。