2019年4月,FortiGuard第一次拆开了Predator the Thief 3.0.8,这好像才是个开始。到了12月,攻击者又开始搞事情,把坏东西藏在假发票邮件里,结果到了平安夜,新的3.3.4版也出来了。这一版不仅藏得更严实,还特别牛,不再靠存文件了,直接在内存里干坏事,搞得你想追查都找不到证据。 你看啊,这一系列步骤可讲究了。第一步是收到钓鱼邮件,上面的附件看着像电子发票,其实是个大坑。点进去一看,是个恶意文档,里面弄了一个VBA宏,随后PowerShell就登场了。这东西先把三份“材料”给下载下来:一个是VjUea.dat,一个是带证书头的Base64编码的AutoIt脚本AutoIt3.exeSevSS.dat,最后是RC4加密的Predator the Thief本体apTz.dat。 接下来就是最精彩的部分了。PowerShell负责把这些文件下载好、编译好然后运行起来。它先把解密后的AutoIt脚本拿出来,直接在内存里编译运行,一个临时文件都不留。然后就把Predator the Thief这个主程序给塞进dllhost.exe这类系统进程里去了。 这样一来,“零文件”就实现了,就算是内存里的事都给你干完了也不会留下痕迹。3.3.4这一版不光隐身能力强,防调试手段也升级了。它给进程加了个NtQueryInformationProcess调用,还弄了个专属的检测线程在那盯着呢。每过5秒它都得探一下鼻息看有没有调试器在旁边窥视,一旦发现立马就停掉。 最后还得说说它怎么把偷来的东西带出去。它这次特别聪明,直接把敏感信息给压缩成Zip包存在内存里打包好就走了。因为它根本就不碰磁盘磁盘相关的文件监控功能自然就不管用了。 所以啊,给大家提个醒:现在的病毒比以前还聪明多了。要是有陌生人发来陌生的附件或者链接千万不能点不能跟。年终岁尾骗子们最想冲业绩了,咱们可千万别给他们留下可乘之机。