Pixel perfect Ghostpulse malware loader hides inside PNG image files
不法之徒将其与同样棘手的社会工程相结合 Ghostpulse 恶意软件现在通过 PNG 图像文件的像素检索其主要有效载荷。安全专家表示,这一发展是自 2023 年推出以来,其背后的骗子所做的“最重大的改变之一”。
Doctor, where did you get these pictures? Using steganography in a cryptocurrency mining campaign.
2025 年 1 月 24 日在分析遥测数据时,Doctor Web 的病毒分析师发现了恶意软件样本,经过仔细检查,这些样本原来是挖掘 Monero 加密货币的活跃活动的组成部分。此活动之所以引人注目,是因为它以一系列恶意软件链的形式实施,其中两个基于执行从 BMP 图像文件中提取恶意负载的脚本。该活动可能始于 2022 年,当时我们的分析师首次观察到 Services.exe,这是一个启动恶意 VBscript 的 .NET 应用程序。此脚本通过联系攻击者的服务器并执行响应中发送的脚本和文件来实现后门功能。例如,恶意文件 ubr.txt(扩展名从 ps1 更改为 txt 的 PowerShe
