安全研究人员发现了一个名为 Veil#Drop 的恶意软件传播活动,该活动滥用 Blogspot 页面、PowerShell 下载支架和无文件 .NET 执行,在 Windows 系统上部署 PureLog Stealer。
该活动以名为transcript.pdf.js 的欺骗性JavaScript 文件开始。由于 Windows 通常隐藏已知的文件扩展名,因此该文件可能在受害者看来是普通的 PDF 文档。
Securonix 威胁研究表示感染链使用受感染的网站、恶意 JavaScript 启动器、Blogspot 托管的有效负载、XOR 混淆、反射 .NET 加载和受信任的 Microsoft 实用程序来减少检测。
面纱#掉落攻击是如何开始的
第一阶段依靠社会工程。受害者下载并打开transcript.pdf.js,认为它是文档而不是脚本。
执行后,该文件将通过 Windows Script Host 运行并启动启用执行策略绕过的 PowerShell。然后,PowerShell 从攻击者控制的 Blogspot 页面获取下一阶段。
黑客新闻报道称,Securonix 研究人员 Akshay Gaikwad、Shikha Sangwan 和 Aaron Beardslee 追踪了从伪装的 JavaScript 文件到内存中 PureLog Stealer 执行的链条。
| 阶段 | 成分 | 目的 |
|---|---|---|
| 初始文件 | 成绩单.pdf.js | 将 JavaScript 启动器伪装成文档。 |
| 执行 | Windows 脚本宿主和 PowerShell | 运行命令并检索下一个有效负载。 |
| 分期 | Blogspot 托管的文件 | 使用可信的网络基础设施来传递恶意软件阶段。 |
| 加载中 | XOR 解码和 .NET 反射 | 在内存中执行有效负载,而无需编写正常的可执行文件。 |
| 最终的恶意软件 | 纯日志窃取者 | 窃取浏览器数据、凭据、cookie 和加密货币钱包数据。 |
Blogspot 是 Google 旗下的博客平台,因此 Blogspot 域的流量可能看起来不像新注册的恶意软件域的流量那么可疑。

攻击者使用 Blogspot 页面暂存 phud.dudus.docx.pdf.olp.sys 和 niple.docx.odp.pdf.sys 等文件。这些名称还使用多个扩展名,使分析更加困难一目了然。
HiveProVeil#Drop 将 Veil#Drop 描述为一个多阶段、很大程度上无文件的交付框架,该框架在部署 PureLog Stealer 之前使用 Blogspot 页面来暂存经过 XOR 混淆的 PowerShell 加载程序。
PowerShell 下载支架保持链无文件
PowerShell 下载底座让攻击者可以从网络检索并执行代码,而无需将标准可执行文件保存到磁盘。这可以减少可用于防病毒扫描的文件数量。
在此活动中,PowerShell 从 Blogspot 提取代码并在内存中运行。后期阶段仅在运行时解码有效负载,这会产生更少的传统取证工件。
微软说PowerShell执行策略是有助于防止意外脚本执行的安全功能,但它们不是安全边界。
第二阶段加载器删除原始 JavaScript 启动器并执行其他操作,为系统稍后执行做好准备。
Securonix 发现恶意软件使用重复的 XOR 例程解密隐藏的有效负载数据。然后,它动态构建一个新的 Blogspot URL,并添加随机字符,以便每次感染看起来略有不同。
网络安全新闻据报道,第三阶段文件包含两大编码数字数据块,这些数据块可解码为直接加载到内存中的 .NET 程序。
Veil#Drop 还滥用微软签名的合法实用程序(通常称为 LOLBIN)作为后备执行路径。这些工具存在于许多 Windows 系统上,并且在企业环境中可以正常显示。
Securonix 在链中观察到的工具中列出了 RegSvcs、InstallUtil、MSBuild、CSC、VBC、ILASM 和 AspNet_Compiler。

这Securonix 分析表示,当主要内存加载方法失败时,这种后备架构可以帮助恶意软件继续执行。
PureLog Stealer 试图收集什么
PureLog Stealer 是一个信息窃取恶意软件系列。一旦激活,它就会搜索有价值的用户和系统数据,攻击者可以出售、重复使用这些数据或利用这些数据来接管帐户。
最终的有效负载可以从受感染的 Windows 系统收集浏览器凭据、cookie、会话数据、自动填充信息、浏览历史记录、加密货币钱包数据和主机详细信息。
HivePro 的建议表示该恶意软件的目标浏览器包括 Chrome、Edge、Firefox、Brave 和 Opera,以及 MetaMask、Exodus、Atomic Wallet、Electrum、Trust Wallet、Coinbase Wallet 和 Binance Wallet 等钱包。
为什么传统防病毒软件可能会错过这次活动
该活动的力量来自于将看似普通的部分组合起来。 JavaScript、PowerShell、Blogspot 流量和 Microsoft 实用程序本身并不是恶意的。
当防御者连接整个链时,可疑行为变得更加清晰:以文档为主题的 JavaScript 文件启动 PowerShell,PowerShell 联系 Blogspot,加载程序解码 .NET 有效负载,可信实用程序显示为后备执行路径。

黑客新闻指出该框架的构建是为了减少法医文物并在整个感染生命周期中保持隐秘性。
活动中提到的指标
组织应使用妥协指标作为起点,而不是作为唯一的检测方法。该活动还动态更改 URL,这使得基于行为的狩猎变得非常重要。
| 类型 | 指标 | 描述 |
|---|---|---|
| 文件名 | 成绩单.pdf.js | 最初的 JavaScript 启动器伪装成 PDF 文档。 |
| 文件名 | phud.dudus.docx.pdf.olp.sys | 从 Blogspot 检索的第二阶段 PowerShell 加载程序。 |
| 文件名 | niple.docx.odp.pdf.sys | 第三阶段加载器包含编码的 PureLog Stealer 程序集。 |
| 领域 | htlwub00klocate[.]blogspot[.]com | Blogspot 域用于暂存第二阶段有效负载。 |
| 领域 | cpyzaramay26[.]blogspot[.]com | Blogspot 域用于暂存第三阶段有效负载。 |
防御者应该监控什么
安全团队应该关注进程链和脚本行为,而不仅仅是检查文件哈希值。单个事件可能看起来无害,但完整的序列可以揭示攻击。
- 启动 wscript.exe 或 cscript.exe 的 JavaScript 文件。
- Windows 脚本宿主生成 PowerShell。
- 使用执行策略绕过标志运行的 PowerShell。
- PowerShell 与 Blogspot 建立出站连接。
- 使用 Reflection.Assembly::Load 或类似的 .NET 内存加载模式。
- PowerShell 生成 InstallUtil、MSBuild、RegSvcs、CSC、VBC、ILASM 或 AspNet_Compiler。
- 下载带有多个误导性扩展名的内容,例如 .pdf.js 或 .docx.pdf.sys。
建议的缓解措施
组织应限制不需要的脚本执行,并跨端点收集更丰富的 PowerShell 遥测数据。
微软的执行政策文件还明确指出,执行策略设置不应取代适当的应用程序控制、端点检测、日志记录和最低权限控制。
网络安全新闻强调了防御措施,例如限制 Windows 脚本主机的使用、监视 PowerShell 绕过尝试以及监视受信任的云平台是否存在异常流量模式。
安全团队的实用步骤
安全团队应将端点监控、网络检查和用户培训结合起来。最初的文件名很简单,但在 PowerShell 接管后,该链变得更难检测。
- 在托管 Windows 系统上默认显示文件扩展名。
- 在业务使用受到限制的情况下阻止或限制 Windows 脚本宿主。
- 启用 PowerShell 脚本块日志记录和模块日志记录。
- 有关 PowerShell 下载底座行为和编码命令的警报。
- 使用应用程序控制来限制有风险的 LOLBIN 执行路径。
- 检查来自端点和服务器的异常 Blogspot 流量。
- 培训用户避免使用双重或误导性扩展名的意外文件。
面纱的更大教训#Drop
Veil#Drop 展示了攻击者如何结合可信平台、本机 Windows 实用程序和无文件执行,使恶意软件交付看起来很平常。
对于防御者来说,答案不仅仅是阻止一个域名或一个文件名。团队需要了解进程关系、PowerShell 行为、内存加载以及受信任平台的异常流量。
随着攻击者继续滥用合法基础设施,当其行为与正常业务活动不匹配时,组织必须将受信任域和签名实用程序视为攻击链的可能部分。
FAQ
什么是面纱#Drop?
Veil#Drop 是 Securonix 分析的多阶段恶意软件交付框架。它使用受损网站、伪装的 JavaScript 文件、PowerShell 下载支架、Blogspot 托管的有效负载、XOR 混淆和内存中 .NET 执行来部署 PureLog Stealer。
什么是 PureLog Stealer?
PureLog Stealer 是一个信息窃取恶意软件系列,可以从受感染的 Windows 主机获取浏览器密码、cookie、会话数据、自动填充详细信息、浏览历史记录、加密货币钱包数据和系统信息。
Blogspot 恶意软件活动是如何开始的?
当受害者打开欺骗性 JavaScript 文件(例如 script.pdf.js)时,该活动就开始了。当 Windows 隐藏扩展名时,该文件可能会像 PDF 一样显示,但它通过 Windows Script Host 运行并启动 PowerShell。
为什么该活动使用 PowerShell 下载底座?
PowerShell 下载底座让攻击者可以从网络获取并运行代码,而无需将正常的可执行文件放入磁盘。这有助于恶意软件减少取证工件并逃避基于文件的安全工具。
组织如何检测 Veil#Drop 活动?
组织应监控 JavaScript 启动 PowerShell、PowerShell 执行策略绕过、出站 Blogspot 流量、反射 .NET 加载以及 PowerShell 生成 Microsoft 实用程序(例如 InstallUtil、MSBuild、RegSvcs、CSC、VBC、ILASM 或 AspNet_Compiler)。
