PureLogs infostealer
A FortiGuard Labs kutatása szerint új phishing kampány terjeszti a PureLogs infostealer továbbfejlesztett variánsát, amely obfuszkált JavaScriptet, fileless PowerShellt és process hollowing technikát használ érzékeny adatok ellopására. A támadás tipikusan hamis purchase order vagy számlás emaillel indul, amely egy RAR-archívumot tartalmaz. A benne lévő JavaScript fájl több rétegű obfuszkáció után PowerShell kódot dekódol és futtat memóriában.
A PowerShell két .NET modult tölt be közvetlenül memóriába, majd a memóriát kódolják át legitim MsBuild.exefolyamatba injektálja a payloadot. A malware olyan Windows API-kat használ, mint a CreateProcessA, ZwUnmapViewOfSection, WriteProcessMemory és SetThreadContext, hogy elrejtse saját működését és megkerülje az EDR-detekciót.
A végső payload a PureLogs infostealer, amely böngészős hitelesítő adatokat, session tokeneket, wallet-adatokat és rendszerinformációkat gyűjt.
