عوامل تهدید به منظور ارائه بدافزارهای VIP Keylogger و 0bj3ctivity Stealer به عنوان بخشی از کمپینهای جداگانه، کدهای مخرب را در تصاویر پنهان میکنند.
HP Wolf Security در گزارشی گفت: در هر دو کمپین، نفوذگران کدهای مخرب را در تصاویر آپلود شده در وبسایت میزبان فایل archive[.]org، مخفی کرده و از همان NET loader. برای نصب پیلودهای نهایی استفاده کردند. نقطه شروع ایمیل فیشینگی است که به صورت فاکتورها و سفارشهای خرید ظاهر میشود تا گیرندگان را برای باز کردن پیوستهای مخرب مانند مایکروسافت اکسل فریب دهد که از نقص امنیتی Equation Editor با شناسه CVE-2017-11882 برای دانلود فایل VBScript سوء استفاده کند.
VBScript به منظور رمزگشایی و اجرای اسکریپت پاورشل طراحی شده است که تصویر میزبانی شده در archive[.]org را بازیابی و کد کدگذاری شده با Base64 را استخراج میکند که پس از آن به یک فایل اجرایی داتنت رمزگشایی و اجرا میشود. فایل اجرایی داتنت به عنوان لودر برای دانلود VIP Keylogger (دارای همپوشانیهای عملکردی با Snake Keylogger و 404 Keylogger) از URL مشخص و اجرای آن عمل میکند و امکان سرقت طیف گستردهای از دادهها از جمله ضربههای کلید (keystroke)، محتوای کلیپ بورد، اسکرینشات و اعتبار اکانتها را از سیستمهای آلوده برای نفوذگران فراهم میکند.
https://thehackernews.com/2025/01/hackers-hide-malware-in-images-to.html
