给大家讲个事儿,DarkCloud这个恶意木马被安全公司Flashpoint给挖出来了。它其实就是用了VB 6.0这种“古董语言”写的。这玩意儿大概从2022年就开始在灰色市场里流转,据说定价才30美元,比好多游戏还便宜。 卖家在销售页面上还挺会骗人,把它吹成是“监控软件”,实际上它是专门用来偷东西的。它能把受感染设备里的凭证和敏感数据全都给弄走,比如浏览器账号密码、Cookies、金融信息还有邮件里的联系人列表。 最有意思的是这货用了Visual Basic 6.0。因为这是一种老掉牙的开发语言,现在好多杀毒软件还真拿它没辙。而且它还用了多层字符串加密和代码混淆,搞得反向分析特别难。程序里的字符串在编译时是加密的,只有运行时才会靠伪随机生成器按规矩重新拼出来。 研究人员还发现,这些技术其实也没啥新鲜的算法,就是利用老式开发环境里那些可以预测的行为来藏猫腻。总之呢,这就是个用老方法干坏事的家伙。