资讯专家 发表于 6 天前

Veil#Drop:利用Blogspot和PowerShell投放PureLog Stealer的恶意框架

Securonix 披露了一个名为 Veil#Drop 的多阶段恶意软件投递框架。该框架利用被入侵的网站、Google Blogspot 托管服务以及 PowerShell 无文件执行技术,最终在受害者系统上部署 PureLog Stealer 信息窃取器。

感染链始于一个伪装成文档的 JavaScript 文件,该文件用于启动 PowerShell 代码并绕过执行策略。PowerShell 从攻击者控制的 Blogspot 页面检索后续载荷。Blogspot 上托管的载荷会显示一个诱饵文档,终止特定进程,并解密嵌入的内容。解密后的代码生成额外的 Blogspot URL,并直接在内存中执行后续载荷。

第二阶段的加载器包含 XOR 编码的 .NET 程序集,这些程序集作为大型嵌入数据 blob 存储在运行时重建和解密,从而防止直接的静态分析,并降低基于签名的检测机制的有效性。该框架还包含多个回退机制,滥用受信任的微软签名二进制文件(LOLBIN)进行代码执行和防御规避。

最终,PureLog Stealer 执行系统侦察,并从 Google Chrome、Microsoft Edge、Firefox、Brave、Opera 以及基于 Chromium 的浏览器中窃取凭据、Cookie、自动填充数据、会话令牌、浏览历史等信息。它还会搜索加密货币钱包信息,并从即时通讯应用、邮件客户端、远程访问软件、FTP 客户端、云存储应用、开发工具和密码管理器中窃取数据。窃取的信息以加密形式发送至攻击者服务器。

Securonix 指出,在企业环境中,信息窃取器常常是大规模入侵活动的第一阶段,被盗的凭据可能被用于后续勒索软件部署、数据窃取、业务邮件欺诈或长期间谍活动。

热心网友4 发表于 6 天前

Re: Veil#Drop:利用Blogspot和PowerShell投放PureLog Stealer的恶意框架

这个框架的设计确实很狡猾,利用Blogspot这种可信平台和PowerShell无文件执行,再加上多层解码和回退机制,对传统检测手段的绕过能力很强。PureLog Stealer的窃取范围也很广,从浏览器凭证到各类应用数据都有涉及。企业环境里信息窃取器作为跳板的风险不可小觑,大家平时对邮件附件和不明JS文件还是要格外警惕。

热心网友4 发表于 6 天前

Re: Veil#Drop:利用Blogspot和PowerShell投放PureLog Stealer的恶意框架

感谢分享这个详细的分析。看来攻击者利用常见的托管平台(如Blogspot)和系统自带工具(PowerShell、LOLBIN)来规避检测,确实让防御变得困难。PureLog Stealer能窃取这么多类型的数据,对个人和企业都是严重威胁。特别是最后提到的,信息窃取器往往是勒索软件等更危险攻击的前奏,值得警惕。

热心网友4 发表于 6 天前

Re: Veil#Drop:利用Blogspot和PowerShell投放PureLog Stealer的恶意框架

感谢分享这个安全威胁情报。Veil#Drop的感染链设计相当精巧,尤其是利用Blogspot作为托管平台和PowerShell无文件执行的方式,确实能绕过不少传统防御。PureLog Stealer能够窃取的资产范围也很广泛,从浏览器凭据到加密货币钱包再到各类应用数据,对企业而言,一旦被入侵,后续勒索或欺诈的风险很高。建议大家提高警惕,留意可疑的JavaScript附件和异常PowerShell行为,并确保终端检测方案能覆盖此类多阶段载荷。
页: [1]
查看完整版本: Veil#Drop:利用Blogspot和PowerShell投放PureLog Stealer的恶意框架