IT之家报道了一个叫 DarkCloud 的恶意木马,安全公司 Flashpoint 也跟进发了文。这个东西早在 2022 年左右就在灰色市场卖了,只要 30 美元。要说它为啥这么便宜,卖的时候就把自己包装成“监控软件”,其实就是个偷窃凭证和敏感数据的工具。 它会去把受感染电脑里的浏览器账号密码、Cookies、还有金融信息、邮箱联系人这些敏感数据都给偷走。这个程序最有意思的地方在于,它居然是用 Visual Basic 6.0 这门老掉牙的语言写的。这也是为啥很多现代杀毒软件都不太容易把它检测出来。 再看它的加密手段,用了多层字符串加密还有代码混淆,就是为了让你难以下手分析。那些内部字符串在编译的时候都是加密的状态,只有等到程序真正跑起来的时候,才会通过伪随机生成器按规矩把它们构造出来。 研究人员说了,其实这些加密手段本身没什么太新鲜的算法,主要就是利用了以前开发环境里的一些能被预测的行为来达到隐藏的效果。