查看: 144|回复: 0

Veil#Drop:利用Blogspot和PowerShell投放PureLog Stealer的恶意框架

[复制链接]
发表于 2 小时前 | 显示全部楼层 |阅读模式
Securonix 披露了一个名为 Veil#Drop 的多阶段恶意软件投递框架。该框架利用被入侵的网站、Google Blogspot 托管服务以及 PowerShell 无文件执行技术,最终在受害者系统上部署 PureLog Stealer 信息窃取器。

感染链始于一个伪装成文档的 JavaScript 文件,该文件用于启动 PowerShell 代码并绕过执行策略。PowerShell 从攻击者控制的 Blogspot 页面检索后续载荷。Blogspot 上托管的载荷会显示一个诱饵文档,终止特定进程,并解密嵌入的内容。解密后的代码生成额外的 Blogspot URL,并直接在内存中执行后续载荷。

第二阶段的加载器包含 XOR 编码的 .NET 程序集,这些程序集作为大型嵌入数据 blob 存储在运行时重建和解密,从而防止直接的静态分析,并降低基于签名的检测机制的有效性。该框架还包含多个回退机制,滥用受信任的微软签名二进制文件(LOLBIN)进行代码执行和防御规避。

最终,PureLog Stealer 执行系统侦察,并从 Google Chrome、Microsoft Edge、Firefox、Brave、Opera 以及基于 Chromium 的浏览器中窃取凭据、Cookie、自动填充数据、会话令牌、浏览历史等信息。它还会搜索加密货币钱包信息,并从即时通讯应用、邮件客户端、远程访问软件、FTP 客户端、云存储应用、开发工具和密码管理器中窃取数据。窃取的信息以加密形式发送至攻击者服务器。

Securonix 指出,在企业环境中,信息窃取器常常是大规模入侵活动的第一阶段,被盗的凭据可能被用于后续勒索软件部署、数据窃取、业务邮件欺诈或长期间谍活动。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-7 06:06 , Processed in 0.027790 second(s), 18 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部