Telegram成新型攻击通道,DarkCloud木马伪装合法软件瞄准Windows系统

admin 2025年4月1日23:16:25评论7 views字数 847阅读2分49秒阅读模式

Telegram成新型攻击通道,DarkCloud木马伪装合法软件瞄准Windows系统

DarkCloud是一款复杂的窃密木马,于2022年出现,并迅速成为同类威胁中最活跃的恶意软件之一。这款针对Windows系统的恶意软件经过多次迭代,已能窃取浏览器数据、FTP凭证、屏幕截图、键盘记录以及金融信息等敏感数据

Telegram成新型攻击通道,DarkCloud木马伪装合法软件瞄准Windows系统
传播方式分析

攻击者主要通过钓鱼攻击传播DarkCloud,他们伪装成合法公司,将恶意文件伪装成付款收据或罚款通知。人力资源部门是主要攻击目标。其他传播途径还包括恶意广告、水坑攻击,以及与DbatLoader或ClipBanker等其他恶意软件捆绑传播。

安全研究员REXorVc0发现DarkCloud具备强大的多阶段感染能力,专门设计用于规避检测。

Telegram成新型攻击通道,DarkCloud木马伪装合法软件瞄准Windows系统

DarkCloud(来源:RexorVc0)

REXorVc0在技术分析中指出:"这款窃密木马的传播主要依靠钓鱼攻击,攻击者会冒充各类公司。"其危害已十分严重,大量组织成为受害者,攻击者通过Telegram渠道窃取浏览器数据、加密货币钱包和各类凭证。

感染机制详解

DarkCloud的感染链始于受害者访问恶意链接或下载受感染文件。

Telegram成新型攻击通道,DarkCloud木马伪装合法软件瞄准Windows系统

攻击链(来源:RexorVc0)

初始载荷通常以压缩文件或脚本形式传播,启动多阶段感染流程以绕过安全防护。加载程序会下载或解压下一阶段代码,常采用复杂的混淆技术。分析样本显示其使用Base64编码配合三重DES加密:

rgbKey = bytes([0x39, 0x1C, 0x8A, 0x9E, 0x80, 0xC2, 0xF8, 0xDF])rgbIV = bytes([0xA3, 0x4B, 0x1F, 0xEB, 0x28, 0xFE, 0x46, 0xEA])

最终阶段会将窃密程序注入svchost.exe或MSBuild等合法Windows进程。这种技术使DarkCloud能够隐蔽运行,规避多数安全解决方案,同时通过Telegram机器人外泄从浏览器、密码管理器和邮件客户端窃取的敏感数据

原文始发于微信公众号(FreeBuf):Telegram成新型攻击通道,DarkCloud木马伪装合法软件瞄准Windows系统

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月1日23:16:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Telegram成新型攻击通道,DarkCloud木马伪装合法软件瞄准Windows系统http://cn-sec.com/archives/3905695.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息