新版Gremlin竊資程式以XOR編碼隱藏惡意內容,提高靜態分析難度
來源: iThome | Unit 42 (Palo Alto Networks) | 2026-05-21 | https://www.ithome.com.tw/news/176021
摘要
新版Gremlin竊資程式(Infostealer)將惡意酬載藏入.NET資源區段,並以單位元組XOR編碼遮蔽C2伺服器位址與外洩路徑,大幅提高靜態分析難度。
竊取目標
- 信用卡資料、瀏覽器Cookie、工作階段權杖
- 加密貨幣錢包資料
- FTP與VPN帳密
- 系統剪貼簿內容
新版技術特點
| 技術 | 說明 |
|---|---|
| XOR編碼 | 遮蔽C2伺服器網址與資料外洩路徑 |
| 分階段載入 | 關鍵功能僅在需要時才解密載入記憶體 |
| 名稱混淆 | 搭配字串加密與控制流程混淆 |
| 商業加殼工具 | 搭配指令虛擬化技術增加逆向難度 |
新增功能模組
- Discord權杖竊取模組
- 加密貨幣剪貼簿竄改:偵測並替換錢包地址
- WebSocket工作階段劫持:直接向Chromium瀏覽器程序要求資料,可繞過部分Cookie保護機制
資料外洩方式
竊得資料打包成ZIP壓縮檔,以受害者公開IP位址作為檔名識別,上傳至攻擊者控制伺服器。
影響
靜態分析已難以判斷惡意行為,分析人員需在受控環境中動態觀察程式行為。
衍生頁面
- Gremlin竊資程式XOR編碼強化隱匿靜態分析難度 — 主要概念頁面
- palo-alto-networks — 揭露研究機構Unit 42