新版Gremlin竊資程式以XOR編碼隱藏惡意內容,提高靜態分析難度

來源: iThome | Unit 42 (Palo Alto Networks) | 2026-05-21 | https://www.ithome.com.tw/news/176021

摘要

新版Gremlin竊資程式(Infostealer)將惡意酬載藏入.NET資源區段,並以單位元組XOR編碼遮蔽C2伺服器位址與外洩路徑,大幅提高靜態分析難度。

竊取目標

  • 信用卡資料、瀏覽器Cookie、工作階段權杖
  • 加密貨幣錢包資料
  • FTP與VPN帳密
  • 系統剪貼簿內容

新版技術特點

技術說明
XOR編碼遮蔽C2伺服器網址與資料外洩路徑
分階段載入關鍵功能僅在需要時才解密載入記憶體
名稱混淆搭配字串加密與控制流程混淆
商業加殼工具搭配指令虛擬化技術增加逆向難度

新增功能模組

  • Discord權杖竊取模組
  • 加密貨幣剪貼簿竄改:偵測並替換錢包地址
  • WebSocket工作階段劫持:直接向Chromium瀏覽器程序要求資料,可繞過部分Cookie保護機制

資料外洩方式

竊得資料打包成ZIP壓縮檔,以受害者公開IP位址作為檔名識別,上傳至攻擊者控制伺服器。

影響

靜態分析已難以判斷惡意行為,分析人員需在受控環境中動態觀察程式行為。

衍生頁面