文章总结： 攻击者冒充Malwarebytes官网，通过GitHub式命名ZIP包传播恶意安装器，利用DLL侧载将合法EXE与恶意CoreMessaging.dll捆绑，运行后植入STEALER类信息窃取程序，专偷加密钱包与MFA数据；同一behash4acaac53c8340a8c236c91e68244e6cb关联LogitechGHub等假安装器，提醒用户务必核验软件来源与签名。 综合评分： 87 文章分类： 恶意软件,威胁情报,漏洞分析,社会工程学,安全意识

虚假 Malwarebytes 活动利用 DLL 侧载漏洞植入信息窃取程序

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年1月19日 12:02 北京

一个伪装成合法软件安装程序的新且复杂的恶意软件活动被揭露。在最近的一项分析中，安全工程师Joseliyo Sánchez详细描述了2026年1月11日至15日期间观察到的一项活跃行动，威胁行为者冒充流行的反恶意软件软件Malwarebytes，分发信息窃取的负载。

该活动通过“闪存狩猎发现”计划被识别，追踪一组特定的恶意ZIP压缩包。这些文件通常以模式malwarebytes-windows-github-io-X.X.X.zip命名，依赖社会工程技术诱使用户执行它们。

“主要被识别的样本是ZIP文件，主要涉及MalwareBytes公司及其软件……一个显著的识别特征是他们都拥有相同的behash。”

调查重点显示了一个特定的行为哈希（behash）——4acaac53c8340a8c236c91e68244e6cb——作为活动初期阶段的指纹。

攻击者不直接使用恶意可执行文件，而是采用“DLL侧载”技术。该方法涉及将一个合法且可信的可执行文件与名为CoreMessaging.dll的恶意动态链接库（DLL）文件捆绑在一起。

“该活动依赖可信的可执行文件欺骗作系统加载恶意载荷，从而执行二级信息窃取者。”

当受害者运行ZIP中找到的合法可执行文件时，作系统会无意中加载同一文件夹中的恶意DLL。

“当分析师或用户运行合法的EXE时，作系统会被欺骗加载恶意CoreMessaging.dll。”

Sánchez的分析发现了恶意DLL中独特的元数据，使得更广泛的基础设施映射成为可能。这些文件包含一些奇怪的签名字符串，比如“Peastaking plenipotence ductileness chilopodous codicillary”，以及一个很可能虚构实体的版权字符串：“© 2026 Eosinophil LLC”。

此外，档案中发现的看似无害的文本文件，常被称为gitconfig.com.txt或Agreement_About.txt，为研究人员提供了转折点。通过分析VirusTotal上的执行父程序，调查将该活动与其他假安装软件如Logitech G Hub、OpenIV和华硕Armoury Crate联系起来。

这场行动的最终目标是部署二级有效载荷，旨在剥离受害者机器中的敏感数据。沙盒分析将这些负载标记为STEALER（BrowserStealerGeneric）。

该恶意软件专门针对加密货币资产和多因素认证（MFA）工具。

“该恶意组件被多项YARA规则识别，包括专门设计用于检测与盗窃加密货币钱包浏览器扩展ID等签名相关的规则。”

本报告强调了即使执行文件看似已签名且受信任，验证软件来源的重要性。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《虚假 Malwarebytes 活动利用 DLL 侧载漏洞植入信息窃取程序》