黑客利用知名网站网址散布恶意软件 在URL中混淆二进制指令

自第一种计算机病毒出现以来，恶意软件就一直是黑客和安全研究人员之间的猫捉老鼠游戏。现在，大多数恶意软件至少在类型和传输方式上是已知的。不过，坏人偶尔也会想出一些新花招来隐藏自己的踪迹。

安全分析公司Mandiant最近发现了一个"前所未见"的攻击链，该攻击链至少在两个不同的网站上使用Base64编码来传输三阶段恶意软件的第二阶段有效载荷。这两个网站分别是科技网站ArsTechnica和视频托管网站Vimeo。

一位用户在ArsTechnica论坛上发布了一张披萨的图片，并配文"我喜欢披萨"。图片或文字本身没有任何问题。然而，这张照片是由第三方网站托管的，其URL包含Base64字符串。Base64转换为ASCII后看起来像随机字符，但在这种情况下，它混淆了下载和安装恶意软件包第二阶段的二进制指令。在另一个案例中，一个相同的字符串出现在Vimeo上一个无害视频的描述中。

ArsTechnica发言人说，在一位匿名用户向该网站举报图片（下图）的奇怪链接后，ArsTechnica删除了这个去年11月创建的账户。

Mandiant说，它已确定该代码属于一个名为UNC4990的威胁行为者，自2020年以来，它一直在跟踪该行为者。对于大多数用户来说，这些指令没有任何作用。它只能在已经包含第一阶段恶意软件（explorer.ps1）的设备上运行。UNC4990通过受感染的闪存盘传播第一阶段，这些闪存盘被配置为链接到托管在GitHub和GitLab上的文件。

第二阶段被称为"空空间"，是一个在浏览器和文本编辑器中显示为空白的文本文件。然而，用十六进制编辑器打开它，就会看到一个二进制文件，该文件使用空格、制表符和新行等巧妙的编码方案来创建可执行的二进制代码。Mandiant承认以前从未见过这种技术。

Mandiant的研究员YashGupta表示："这是我们看到的一种不同的、新颖的滥用方式，很难被发现。是我们在恶意软件中通常见不到的。这对我们来说非常有趣，也是我们想要指出的。"

执行后，Emptyspace会不断轮询命令和控制服务器，并根据命令下载一个名为"Quietboard"的后门。UNC4990利用该后门在受感染的机器上安装加密货币矿机。不过，Mandiant表示，它只追踪到一个安装Quietboard的实例。

鉴于Quietboard的罕见性，UNC4990的攻击造成的威胁微乎其微。但是，explorer.ps1和Emptyspace的感染率可能会更高，从而使用户易受攻击。Mandiant在其博客中解释了如何检测感染。