【安全资讯】Emansrepo Stealer：复杂多变的多面威胁

概要：

网络安全研究人员在FortiGuard Labs一直在追踪一种名为“Emansrepo”的Python信息窃取恶意软件的活动。自2023年11月首次被发现以来，Emansrepo通过伪装成采购订单和发票的钓鱼邮件进行传播，导致一系列日益复杂的攻击链。

主要内容：

研究人员识别出三条独特的攻击链，每条链都采用独特的技术来传递Emansrepo负载。这些链包括使用AutoIt编译的可执行文件、HTA文件和BatchShield混淆的批处理文件，以逃避检测并最终执行恶意Python脚本。

第一条攻击链始于一个伪装成下载页面的投放器。该投放器链接到一个名为“Purchase-Order.7z”的文件，其中包含一个AutoIt编译的可执行文件。尽管AutoIt脚本内含有大量未使用的函数，但最终下载了一个恶意脚本——tester.py，以窃取受害者系统中的敏感信息。

第二条链涉及更复杂的方法，其中嵌入的文件是一个HTA（HTML应用程序），运行一个隐藏的PowerShell脚本运行器。该脚本下载一个PowerShell脚本（script.ps1），类似于第一条链中的AutoIt脚本，提取并执行Emansrepo负载。

第三条链利用一个包含BatchShield混淆的批处理脚本的7z文件。解混淆后，脚本显示其目的：下载并运行相同的PowerShell脚本，最终执行Emansrepo信息窃取程序。

Emansrepo自首次发现以来，已经经历了显著的发展。早期版本主要集中在收集登录凭证、信用卡信息、浏览历史和文本文件。然而，较新的变种扩展了其能力，包括外传PDF文件、浏览器扩展、加密货币钱包、游戏平台数据和Cookies。FortiGuard Labs还观察到一个新的活动分发Remcos恶意软件，可能与Emansrepo背后的同一威胁行为者有关。这个活动依赖于DBatLoader来传递Remcos负载。随着攻击者不断改进其技术并多样化其恶意软件库，组织必须保持警惕并采取积极的网络安全措施。