عوامل تهدید به منظور ارائه بدافزارهای VIP Keylogger و 0bj3ctivity Stealer به عنوان بخشی از کمپینهای جداگانه، کدهای مخرب را در تصاویر پنهان میکنند.
HP Wolf Security در گزارشی گفت: در هر دو کمپین، مهاجمان کدهای مخرب را در تصاویری که در وبسایت میزبان فایل archive[.]org آپلود میشد، پنهان و از همان NET loader. برای نصب پیلودهای نهایی استفاده کردند. نقطه شروع ایمیل فیشینگی است که به صورت فاکتورها و سفارشهای خرید ظاهر میشود تا گیرندگان را برای باز کردن پیوستهای مخرب مانند مایکروسافت اکسل فریب دهد که از نقص امنیتی Equation Editor با شناسه CVE-2017-11882 برای دانلود فایل VBScript سوء استفاده کند.
این اسکریپت به نوبه خود، برای رمزگشایی و اجرای یک اسکریپت پاورشل طراحی شده است که یک تصویر میزبانی شده در archive[.]org را بازیابی و یک کد کدگذاری شده با Base64 را استخراج میکند، که پس از آن به یک فایل اجرایی داتنت رمزگشایی و اجرا میشود. فایل اجرایی داتنت به عنوان بارگیری برای دانلود VIP Keylogger از یک URL مشخص و اجرای آن عمل میکند و به عوامل تهدید اجازه میدهد تا طیف گستردهای از دادهها را از سیستمهای آلوده سرقت کنند، از جمله ضربه زدن به کلید، محتوای کلیپ بورد، اسکرینشات و اعتبار. VIP Keylogger همپوشانیهای عملکردی را با Snake Keylogger و 404 Keylogger به اشتراک میگذارد.
https://thehackernews.com/2025/01/hackers-hide-malware-in-images-to.html
