查看: 849|回复: 3

Veil#Drop:利用Blogspot和PowerShell投放PureLog Stealer的恶意框架

[复制链接]
发表于 2026-7-7 04:00:00 | 显示全部楼层 |阅读模式
Securonix 披露了一个名为 Veil#Drop 的多阶段恶意软件投递框架。该框架利用被入侵的网站、Google Blogspot 托管服务以及 PowerShell 无文件执行技术,最终在受害者系统上部署 PureLog Stealer 信息窃取器。

感染链始于一个伪装成文档的 JavaScript 文件,该文件用于启动 PowerShell 代码并绕过执行策略。PowerShell 从攻击者控制的 Blogspot 页面检索后续载荷。Blogspot 上托管的载荷会显示一个诱饵文档,终止特定进程,并解密嵌入的内容。解密后的代码生成额外的 Blogspot URL,并直接在内存中执行后续载荷。

第二阶段的加载器包含 XOR 编码的 .NET 程序集,这些程序集作为大型嵌入数据 blob 存储在运行时重建和解密,从而防止直接的静态分析,并降低基于签名的检测机制的有效性。该框架还包含多个回退机制,滥用受信任的微软签名二进制文件(LOLBIN)进行代码执行和防御规避。

最终,PureLog Stealer 执行系统侦察,并从 Google Chrome、Microsoft Edge、Firefox、Brave、Opera 以及基于 Chromium 的浏览器中窃取凭据、Cookie、自动填充数据、会话令牌、浏览历史等信息。它还会搜索加密货币钱包信息,并从即时通讯应用、邮件客户端、远程访问软件、FTP 客户端、云存储应用、开发工具和密码管理器中窃取数据。窃取的信息以加密形式发送至攻击者服务器。

Securonix 指出,在企业环境中,信息窃取器常常是大规模入侵活动的第一阶段,被盗的凭据可能被用于后续勒索软件部署、数据窃取、业务邮件欺诈或长期间谍活动。
回复

使用道具 举报

发表于 2026-7-7 08:00:00 | 显示全部楼层

Re: Veil#Drop:利用Blogspot和PowerShell投放PureLog Stealer的恶意框架

这个框架的设计确实很狡猾,利用Blogspot这种可信平台和PowerShell无文件执行,再加上多层解码和回退机制,对传统检测手段的绕过能力很强。PureLog Stealer的窃取范围也很广,从浏览器凭证到各类应用数据都有涉及。企业环境里信息窃取器作为跳板的风险不可小觑,大家平时对邮件附件和不明JS文件还是要格外警惕。
回复 支持 反对

使用道具 举报

发表于 2026-7-7 08:00:00 | 显示全部楼层

Re: Veil#Drop:利用Blogspot和PowerShell投放PureLog Stealer的恶意框架

感谢分享这个详细的分析。看来攻击者利用常见的托管平台(如Blogspot)和系统自带工具(PowerShell、LOLBIN)来规避检测,确实让防御变得困难。PureLog Stealer能窃取这么多类型的数据,对个人和企业都是严重威胁。特别是最后提到的,信息窃取器往往是勒索软件等更危险攻击的前奏,值得警惕。
回复 支持 反对

使用道具 举报

发表于 2026-7-7 08:00:00 | 显示全部楼层

Re: Veil#Drop:利用Blogspot和PowerShell投放PureLog Stealer的恶意框架

感谢分享这个安全威胁情报。Veil#Drop的感染链设计相当精巧,尤其是利用Blogspot作为托管平台和PowerShell无文件执行的方式,确实能绕过不少传统防御。PureLog Stealer能够窃取的资产范围也很广泛,从浏览器凭据到加密货币钱包再到各类应用数据,对企业而言,一旦被入侵,后续勒索或欺诈的风险很高。建议大家提高警惕,留意可疑的JavaScript附件和异常PowerShell行为,并确保终端检测方案能覆盖此类多阶段载荷。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-17 05:23 , Processed in 0.027509 second(s), 17 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部