安全公司 Flashpoint 披露一款名为 DarkCloud 的恶意木马,2022 年左右在灰色渠道出售,标价约 30 美元。销售页面将其描述为“监控软件”,但其实际功能是窃取凭证和敏感数据,包括浏览器账号密码、Cookies、金融信息和电子邮件客户端联系人等。该木马使用 Visual Basic 6.0 编写以躲避现代杀毒检测,并采用多层字符串加密与代码混淆技术,编译时保持字符串加密,通过伪随机生成器在运行时重构,利用旧开发环境的可预测性增加逆向分析难度。
3 月 10 日消息,安全公司 Flashpoint 发文,曝光了一款名为 DarkCloud 的恶意木马,该工具自 2022 年左右在灰色渠道开始流传,定价据称为 30 美元(IT之家注:现汇率约合 207.4 元人民币),甚至低于许多游戏的发售价格。
据介绍,DarkCloud 在销售页面中将自己描述为“监控软件”,但其核心功能实际上是从受感染系统中提取凭证和敏感数据,能够收集受害者设备上的浏览器账号密码、Cookies、金融信息以及电子邮件客户端中的联系人数据等敏感信息。
▲ 相应恶意木马的销售页面
研究人员指出,DarkCloud 最有意思的一点是其使用 Visual Basic 6.0“古董语言”编写,这是因为此类“古董语言”编写的木马在一定程度上难以被现代杀毒软件所检测到。
此外,DarkCloud 还采用多层字符串加密与代码混淆技术,以增加逆向分析难度。程序内部字符串在编译阶段保持加密状态,只有在运行时才会通过伪随机生成器按既定规则重新构造。研究人员指出,这些技术本身并未使用新型加密算法,而是利用旧式开发环境中的一些可预测行为来实现隐藏效果。