行業新聞與部落格
無檔案惡意軟體利用 Google Blogspot 在記憶體中部署資訊竊取程式
一種無檔案惡意軟體框架利用谷歌的 Blogspot 平臺,將 PureLog Stealer 完全部署在記憶體中,使攻擊者能夠在竊取憑據的同時,在磁碟上幾乎不留下任何痕跡。
Securonix 威脅研究公司將該框架命名為 Veil#Drop,並表示該攻擊活動將受感染的網站、帶有陷阱的 JavaScript 檔案和 PowerShell 連線起來,以達到其目標。
PureLog Stealer 是一個知名的 .NET 資訊竊取程式,但其多階段交付方式才是該程式的獨特之處。
一種旨在逃避檢測的無檔案鏈
攻擊始於受害者在被入侵的網站上開啟一個偽裝成文件的檔案。由於 Windows 預設隱藏已知副檔名,該檔案看起來像是一個 PDF 檔案,但實際上是一個由 Windows 指令碼宿主執行的指令碼,該指令碼會啟動 PowerShell,但停用了安全檢查。
之後,PowerShell 直接從攻擊者控制的 Blogspot 頁面獲取其後續階段,並在記憶體中執行它們,而無需將任何檔案寫入磁碟。
該公司表示,將有效載荷託管在谷歌擁有的基礎設施上,可以讓流量與正常的網路活動混為一談,從而繞過基於聲譽的防禦措施。
後續階段將內容隱藏在自定義的異或編碼之後,僅在執行時進行解碼。研究人員表示,最終載入器從編碼資料重建了兩個 .NET 程式集,並使用反射將其直接載入到記憶體中,因此不會生成任何可執行檔案,從而避免被防毒軟體掃描。
為了確保即使該路徑被阻止,有效載荷也能執行,Veil#Drop 會回退到受信任的 Microsoft 簽名二進位制檔案或 LOLBIN,迴圈使用 RegSvcs 、 InstallUtil 和 MSBuild 等實用程式,直到其中一個成功為止。
由於這些二進位制檔案是 .NET 框架的合法組成部分,因此該活動經常繞過應用程式控制和允許列表規則。
PureLog 竊取了什麼
PureLog Stealer 一旦執行,其功能就不僅僅是簡單的憑證竊取,它還會掃描機器以查詢瀏覽器密碼、 cookie 、自動填充資料、加密貨幣錢包和主機本身的詳細資訊。
Securonix 警告稱,被盜的會話 cookie 可以讓攻擊者透過重用受害者的登入會話來繞過多因素身份驗證 (MFA) 。
該公司解釋說:“在許多情況下,竊取資訊的惡意軟體背後的運營者會透過地下市場出售竊取的憑證,使其他威脅行為者能夠購買對被入侵帳戶和環境的訪問許可權。”
Securonix 還敦促防禦者注意 Veil#Drop 背後的行為,例如 PowerShell 連線到 Blogspot 或生成 .NET 實用程式,而不是僅僅依賴靜態指標。
最近新聞
2026年07月02日
2026年07月02日
2026年06月25日
2026年05月26日
2026年05月26日
2026年05月26日
2026年05月26日
2026年05月26日
需要幫助嗎?聯絡我們的支援團隊 線上客服