Gremlin竊資程式XOR編碼強化隱匿靜態分析難度
新版Gremlin竊資程式(Infostealer)以.NET資源區段儲存惡意酬載,並以單位元組XOR編碼遮蔽C2位址與外洩路徑,提高靜態分析難度。由Palo Alto Networks Unit 42研究團隊揭露(2026-05-21)。
核心技術
- XOR編碼:單位元組XOR遮蔽C2伺服器網址與資料外洩路徑
- .NET資源區段隱藏:惡意酬載藏入正常資源段,降低掃描命中率
- 分階段載入:關鍵功能僅在需要時才解密載入記憶體
- 名稱混淆+字串加密+控制流程混淆
- 商業加殼工具+指令虛擬化
新增功能
- Discord權杖竊取模組
- 加密貨幣剪貼簿竄改(替換錢包地址)
- WebSocket工作階段劫持(繞過部分Cookie保護)
竊取目標
信用卡資料、瀏覽器Cookie、工作階段權杖、加密貨幣錢包、FTP/VPN帳密、剪貼簿內容。
影響
靜態分析工具難以辨識惡意行為,需動態分析(沙箱執行)方能有效偵測。
來源文章
相關頁面
- palo-alto-networks — 揭露單位 Unit 42