近期,火绒安全实验室检测到一种包含附件 Purchase Order.vbe 的邮件。而这看似普通的邮件其实是一封钓鱼邮件,其中的附件本质上是一个恶意文件,一旦打开,藏在其中的恶意程序就会“苏醒”,悄悄窃取受害者的各种重要信息。这类攻击就是钓鱼攻击。
火绒工程师对邮件中的附件进行分析发现,该 VBE 文件实际是经过编码的 VBS 脚本,运行后会将注入器和下载器载荷写入注册表,并通过 Powershell 指令调用注入器,将带有反虚拟机、反沙箱机制的下载器注入至指定进程中。该下载器运行时会接收基于开源窃密项目 XenoStealer 的自定义变种窃密模块数据,而此模块不仅会窃取 Chrome,Edge 等浏览器存储的 Cookie 和密码,还会窃取聊天软件、邮箱客户端、直播软件、下载工具等各类软件的配置文件。其中,第一个 VBS 脚本和窃密模块分别利用了 Microsoft Script Encoder 和 .NET Reactor 进行混淆,从而干扰逆向分析。