网络安全研究人员发现了一场复杂的恶意软件攻击活动，其利用了 KoiLoader 的一个新变种，KoiLoader 是一种模块化的有效载荷交付系统，因分发像 Koi Stealer 这样的信息窃取软件而臭名昭著。

这个更新的变种使用嵌入在 Windows 快捷方式（LNK）文件中的 PowerShell 脚本，以绕过传统的检测机制，这显示出攻击方法的一种令人担忧的演变。

这场攻击活动的初始攻击入口涉及模仿金融机构的网络钓鱼电子邮件，用包含恶意 LNK 文件的 ZIP 压缩文件引诱受害者，这些恶意 LNK 文件被标记为银行对账单。

这些文件利用了一个已知的 Windows 漏洞（ZDI-CAN-25373）来隐藏命令行参数，在表面检查时掩盖其恶意意图。

eSentire 的威胁响应部门（TRU）在例行的威胁搜寻行动中首次检测到了这次入侵，观察到了该恶意软件旨在逃避端点检测与响应（EDR）工具的多阶段部署链条。

攻击始于嵌入在 LNK 文件中的一个 PowerShell 命令，该命令会下载两个 JScript 有效载荷（g1siy9wuiiyxnk.js 和 i7z1x5npc.js），以实现持久化并执行进一步的恶意活动。

值得注意的是，威胁行为者使用计划任务来保持执行的连续性，同时改变进程的父进程关系，以模仿合法的系统活动。

该恶意软件的影响不仅限于最初的被攻陷情况，因为 KoiLoader  便于交付 Koi Stealer，Koi Stealer 是一种基于 C# 的信息窃取软件，能够获取凭据、加密货币钱包和敏感文件。

随后的命令与控制（C2）通信使用加密的 HTTP POST 请求来窃取受害者的数据，包括操作系统详细信息、用户名和域名信息。

这场攻击活动表明，攻击者越来越依赖于利用合法二进制文件（LOLBins）和基于脚本的攻击来规避安全控制。

（来源：安全客）