网络攻击新招：图片藏毒，恶意软件肆虐

据The Hacker News报道，惠普沃尔夫安全公司揭露了一项网络攻击手段，攻击者巧妙地在图片中嵌入恶意代码，以此散播VIP Keylogger和0bj3ctivity Stealer等恶意软件。依据该公司与The Hacker News联合发布的《2024年第三季度威胁洞察报告》所述，在两起独立事件中，攻击者均把含有恶意代码的图片上传至archive[.]org文件托管平台，并利用相同的.NET加载器部署最终的恶意载荷。

这两起攻击活动的起点均为伪装成发票和采购订单的钓鱼邮件，诱骗目标打开嵌入的恶意附件，例如含有利用CVE-2017-11882漏洞的Microsoft Excel文档。一旦文档被打开，便会下载并执行一个VBScript脚本，该脚本负责解码并执行一个PowerShell脚本，该脚本进而从archive[.]org下载图片，提取并解码其中的Base64编码内容，最终将其转化为.NET可执行文件并执行。

此.NET可执行文件作为加载器，负责从指定URL下载并运行VIP监控程序，使攻击者能够从受害系统中窃取多种数据，涵盖击键记录、剪贴板内容、屏幕截图及凭证信息。VIP Keylogger在功能上与Snake Keylogger和404 Keylogger存在相似之处。

另一起攻击活动则是通过电子邮件向目标发送含有恶意存档文件的邮件，这些邮件伪装成询价请求，旨在诱骗收件人打开存档中的JavaScript文件，进而触发PowerShell脚本的执行。与前述案例相似，PowerShell脚本会从远程服务器下载图片