KoiStealer窃密木马最新攻击链样本详细分析

主要观点总结

本文详细分析了KoiStealer窃密类木马的最新的攻击活动，介绍了攻击者如何通过钓鱼邮件传播该木马，以及木马的功能和详细攻击过程。文章包括钓鱼样本的伪装、创建计划任务启动项、远程下载恶意脚本、解密并执行PayLoad、判断机器操作系统语言版本、反沙箱操作、向远程服务器发送请求等步骤。最后，文章强调全球恶意软件攻击活动的普遍性和不断更新的攻击技术，提醒人们时刻警惕可能存在的风险。

关键观点总结

关键观点1: 钓鱼邮件传播的窃密木马KoiStealer

该木马能获取受害者屏幕截图、浏览器存储的密码、Cookie等数据，并用于进一步诈骗攻击活动。

关键观点2: 详细的攻击过程分析

从解压缩钓鱼样本、创建计划任务到执行恶意PowerShell脚本，文章详细阐述了攻击者如何利用远程服务器下载并执行恶意脚本，以及如何通过解密算法获取并执行PayLoad的过程。

关键观点3: 防不胜防的恶意软件攻击活动

黑客组织不断更新攻击样本和技术，全球各地不断发生恶意软件攻击活动，企业和个人需要时刻保持警惕。

文章预览

安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 原文首发出处： https://xz.aliyun.com/t/14900 先知社区 作者：熊猫正正 KoiStealer是一种新型的窃密类木马，攻击者主要通过钓鱼邮件进行传播，该窃密木马能获取受害者屏幕截图、浏览器中储者的密码、Cookie等数据，然后利用盗取的这些数据，对受害者进行更进一步的诈骗攻击活动，笔者最近捕获到该木马最新的攻击活动，对该攻击活动攻击链样本进行了详细分析，供大家参考学习。 详细分析 1.钓鱼样本解压缩之后，伪装成PDF图标的快捷方式，如下所示： 2.快捷方式执行的命令行参数，如下所示： 3.创建计划任务启动项，如下所示： 4.从远程服务器上下载计划任务启动项对应的恶意脚本文件并存放到%temp%目录下，下载的恶意脚本，从远程服务器上下载另外一个恶意脚本，并删除之前的计划 ………………………………