Gremlin竊資程式XOR編碼強化隱匿靜態分析難度

新版Gremlin竊資程式(Infostealer)以.NET資源區段儲存惡意酬載,並以單位元組XOR編碼遮蔽C2位址與外洩路徑,提高靜態分析難度。由Palo Alto Networks Unit 42研究團隊揭露(2026-05-21)。

核心技術

  • XOR編碼:單位元組XOR遮蔽C2伺服器網址與資料外洩路徑
  • .NET資源區段隱藏:惡意酬載藏入正常資源段,降低掃描命中率
  • 分階段載入:關鍵功能僅在需要時才解密載入記憶體
  • 名稱混淆+字串加密+控制流程混淆
  • 商業加殼工具+指令虛擬化

新增功能

  • Discord權杖竊取模組
  • 加密貨幣剪貼簿竄改(替換錢包地址)
  • WebSocket工作階段劫持(繞過部分Cookie保護)

竊取目標

信用卡資料、瀏覽器Cookie、工作階段權杖、加密貨幣錢包、FTP/VPN帳密、剪貼簿內容。

影響

靜態分析工具難以辨識惡意行為,需動態分析(沙箱執行)方能有效偵測。

來源文章

相關頁面