新兴威胁——DarkCloud窃取者利用恶意RAR压缩文件攻击金融行业

针对金融机构的威胁形势仍在不断演变，Cyber​​Proof 的研究人员报告称，2025 年 8 月 DarkCloud Stealer 感染病例急剧增加。

该组织的托管检测和响应分析师和威胁猎手发现了以 RAR 文件附件为主要攻击手段的网络钓鱼活动。

一旦执行，该恶意软件会窃取敏感信息，包括来自浏览器、FTP 客户端和电子邮件应用程序的凭据，并采用高级持久性和进程注入技术来逃避检测。

通过网络钓鱼和加载器执行进行传播

攻击始于一封钓鱼邮件，邮件附件为“Proof of Payment.rar”（哈希值：0ebc9f70eba3c50c2e6be8307f25e7ca572b1a26a1c37af00b22549f6e0a8129），其中包含一个由 wscript.exe执行的恶意 VBE 文件。

脚本启动后，会解码 Base64 编码的 PowerShell 命令，这些命令旨在下载看似无害的 JPG 文件“universe-1733359315202-8750.jpg”（SHA256：89959ad7b1ac18bbd1e850f05ab0b5fce164596bce0f1f8aafb70ebd1bbcf900）。

该图像包含一个嵌入的 .NET DLL 加载器，隐藏在其数据中，使用 PowerShell 的 [Reflection.Assembly]::Load() 方法提取并部署。

该加载器通过将 JavaScript 有效负载作为 wardian.js复制 到用户的下载路径并创建注册表项以在重启后重新执行来保持持久性。

进一步检查发现了更多混淆的 Base64 字符串，这些字符串指向托管在受感染域上的远程有效载荷链接。DarkCloud 的主要有效载荷随后在内存中解密，避免写入磁盘，然后被注入到 MSBuild.exe 和 mtstocom.exe中。

凭证窃取和持久化技术

DarkCloud 通过进程空洞化技术执行攻击后，会访问Chrome和 Microsoft Edge等浏览器的登录数据，从而系统性地窃取凭证。Cyber​​Proof 的遥测数据显示，该恶意软件还试图从 Outlook 和 FTP 客户端窃取更多信息。

被盗凭证通过 FTP 和 SMTP 通道泄露，从而扩大了攻击者的操作灵活性。

DarkCloud 通过创建多种持久化机制来进一步确保生存，包括HKCU\Software\Microsoft\Windows\CurrentVersion\Run下的注册表项 ，以及 在用户漫游文件夹中 放置伪装的可执行文件（如 M3hd0pf.exe） 。

值得注意的是，该活动扩展到了基于动态生成算法 (DGA) 的通信，并向 dmetis[.]xyz、  wizwig[.]biz和 financialsecured[.]xyz等可疑域建立了出站连接。

DarkCloud Stealer RAR 恶意软件

设置注册表值，以便在每次登录时执行

EDR警报分析显示，攻击者在多个阶段向受信任的二进制文件中注入进程，这增加了检测难度。调查日志证实，凭证窃取、持久化操作以及典型的信息窃取者网络流量模式之间存在关联。

防御性建议

Cyber​​Proof 敦促各组织，尤其是金融公司，对恶意附件指标（例如不寻常的 RAR 或 VBE 文件）进行主动监控。

分析人员建议查找异常脚本执行、使用 [Reflection.Assembly]::Load() 的 PowerShell 活动以及对 Chrome 或 Edge 凭据数据库的未经授权的访问尝试。

此外，限制出站连接到高风险顶级域名（包括 .shop、.xyz、.info 和 .net）可以降低数据外泄风险。

DarkCloud Stealer RAR 恶意软件

设备时间线事件显示伪装的 msbuild.exe 

DarkCloud 活动展示了攻击者如何将社会工程学与无文件执行策略相结合，以最大限度地提高隐蔽性。

Cyber​​Proof通过发布这份详细的攻击分析和入侵指标，旨在加强社区检测工作，并增强抵御日益复杂的犯罪恶意软件行动的能力。

妥协的迹象

• https://archive.org/download/universe-1733359315202-8750/universe-1733359315202-8750.jpg
• http://mycoosin.lovestoblog.com/arquivo_1310f7ed369f46bcbaf688d16fd596b9.txt
• http://mycoosin.lovestoblog.com/arquivo_dd5cdfb7a64340d5940293c44c77ca50.txt
• 0ebc9f70eba3c50c2e6be8307f25e7ca572b1a26a1c37af00b22549f6e0a8129
• 90eefdabd6f33de39071d4bfd540654bfdc60bff3198d5637f82e10b0cabd01d