概要2019年1月开始,思科Talos开始跟踪一系列间谍软件的分发活动,攻击者所用到的恶意软件一般是耳熟能详的Agent Tesla、Loki-bot等,通过定制dropper将最终恶意软件注入到公共进程中,一旦感染成功,便能从多类浏览器或邮件客户端中窃取用户信息。这些注入技术并不新鲜,早就存在多年了,但随着攻击者在感染链上的改进,传统的反病毒系统也很难检测到嵌入的恶意软件。在本文中,我们将介绍其中一起行动,攻击者是如何利用dropper在不同阶段隐藏恶意软件的。任何互联网用户都有可能成为这类恶意软件的目标,如果遭到感染,自己的隐私就有可能完全暴露在攻击者面前。技术概述此次活动以典型的钓鱼邮件的方式开展: 图