黑客利用 VPS 托管提供商传播恶意软件并逃避检测

一个复杂的恶意软件活动通过冒充税务机构的精心设计的网络钓鱼电子邮件，传播 Grandoreiro 银行木马，并将目标锁定在墨西哥、阿根廷和西班牙的用户。

此次攻击利用了多阶段感染链，首先是虚假的政府通知，声称收件人面临巨额税收处罚，然后制造紧迫感，迫使受害者与这些通信中嵌入的恶意链接进行互动。该活动采用了复杂的基础设施，利用了托管在 Contabo 网络上的虚拟专用服务器 (VPS)，表明威胁行为者越来越倾向于使用合法托管服务来逃避检测。

攻击者专门利用 contaboserver.net 下的子域名，例如 vmi2500240.contaboserver.net，这些子域名与特定的虚拟机相连。

这种方法为攻击者提供了合法性的外表，同时使他们能够在域名被安全解决方案标记时快速转移基础设施。

当受害者点击这些网络钓鱼电子邮件中的链接时，他们会被重定向到这些由 Contabo 托管的地理围栏 URL，其中显示一个虚假的税务文件门户。

该页面包含一个“下载 PDF”按钮，单击后会启动一系列重定向，最终导致从合法的文件共享服务Mediafire 下载受密码保护的 ZIP 文件。

这种在攻击链中使用多个合法服务的技术大大增加了检测工作的复杂性。

Forcepoint 研究人员发现，这些攻击者在每次活动中频繁更改 contaboserver.net 下的子域名，这使得安全解决方案难以跟上阻止力度。

研究人员指出，攻击者巧妙地使用地理围栏技术来瞄准特定区域，同时避开安全研究人员的环境。

感染机制分析

当受害者解压包含高度混淆的 Visual Basic 脚本的受密码保护的 ZIP 文件（密码：2025）时，感染过程就开始了。

该 VBS 文件包含大量故意制造的噪音，其中使用句号和其他不需要的字符来掩盖其真实功能。

脚本内嵌有 base64 编码的有效负载，并被分割成多个块。

mdanvtBPzcJrzVhDFrqf5="2bQ5jY+g7j/hPYqSWSISCZAHf/uE2exxvDhADy+eRpbC9mEyEcJc8zRc6xlNkh/CGuWgB7jD7PYH9bWPjEKyVA7b763DFQrtpxW5JsZrI3nauYrOp42x mdanvtBPzcJrzVhDFrqf3="0hWpMee4AT6Ew/KV012S0knu283snE9ckrkJQMRbZFDU80+hhijt9MSWJxiBkK30R08vNqAJ8nauvhaymiPTFrXP4KT09F4a5xitt1WjV+EJ07A+1cAP

执行时，脚本会连接这些片段并对其进行解码以提取另一个 ZIP 文件，并将其放入公共用户目录中。

此 ZIP 包含一个用 PDF 图标伪装的 Delphi 编译的可执行文件，运行时会显示伪造的Adobe Reader错误消息。

这种社会工程策略让用户相信他们正在处理合法的文档问题，而恶意软件则会悄悄地建立持久性。

根据版本信息，该可执行文件声称来自“ByteCore Technologies 706092 Inc.”，它使用不寻常的端口配置（例如 42195）连接到命令和控制服务器。

该恶意软件专门针对金融信息，扫描比特币钱包目录并通过注册表查询（如“HKEY_LOCAL_MACHINESYSTEMControlSet001ControlNIsSortingVersions”）收集系统信息，以确定语言设置和机器标识符。

Grandoreiro 木马的多层混淆技术和对合法基础设施的使用突显了现代威胁行为者如何不断发展其策略以绕过安全控制。

组织必须实施多层防御措施，以便检测整个攻击链中的此类威胁，从最初的网络钓鱼尝试到有效载荷执行和命令与控制通信。