新型无文件窃密木马DarkCloud利用PowerShell与进程镂空技术规避检测
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
Fortinet研究显示,DarkCloud恶意软件通过钓鱼邮件和PowerShell攻击链传播,窃取敏感信息。该恶意软件采用无文件技术和反分析机制,增加检测难度,并通过TLS的SMTP协议进行数据外传。
🎯
关键要点
- Fortinet研究发现DarkCloud恶意软件通过钓鱼邮件和PowerShell攻击链传播。
- 该恶意软件专门窃取保存的凭据、支付数据和电子邮件联系人等敏感信息。
- 攻击链始于一封无正文的钓鱼邮件,附带压缩包,内含JavaScript文件。
- JavaScript文件通过WScript.exe执行,下载伪装成JPEG图像的文件,隐藏加密的.NET DLL。
- 恶意软件使用内存注入技术和无文件运行,增加检测难度。
- 反分析机制包括监测用户输入和运行时解密的加密常量字符串。
- DarkCloud主要窃取系统信息、浏览器数据、应用程序凭证和邮件联系人。
- 该变种采用基于TLS的SMTP协议进行数据外传,所有SMTP信息以加密字符串形式存储。
- 邮件主题包含受害系统的基本信息,增加了检测和调查的难度。
- DarkCloud展现了多层混淆、无文件投递和反分析机制的结合,符合APT攻击手法。
➡️
