“暗云窃取者”（DarkCloud Stealer）最近已成为一个强大的威胁，它通过具有说服力的钓鱼攻击活动针对金融机构。攻击者利用伪装成合法文档的武器化RAR附件，来投放基于JavaScript的多阶段有效载荷。

打开压缩包后，受害者会执行一个VBE脚本，该脚本利用Windows脚本宿主启动隐藏在看似无害的图像文件中的PowerShell下载器。

这种初始访问向量利用了用户对常规财务通信的信任，触发了一系列旨在规避传统安全控制的自动解码和解密步骤。

2025年9月初，安全团队发现，发送至银行业企业电子邮件账户的恶意RAR附件数量急剧上升。

CyberProof的分析师发现，名为“Proof of Payment.rar”的压缩包包含一个VBE脚本，该脚本执行时会调用PowerShell下载一个嵌入的JPG文件，文件名为universe-1733359315202-8750.jpg。

窃取者的加载器隐藏在这张图片中，解码程序直接从图像像素数据中提取.NET DLL模块。

CyberProof的研究人员指出，该PowerShell脚本会严格检查内存偏移量，以定位独特的BMP头模式，然后提取加载程序DLL。

以下代码片段展示了用于扫描下载的图像字节的核心循环：-

for ($i=0; $i -lt $data.Length - $header. Length; $i++) {
    $match = $true
    for ($j=0; $j -lt $header.Length; $j++) {
        if ($data[$i + $j] -ne $header[$j]) { $match = $false; break }
    }
    if ($match) { $offset = $i; break }
}

一旦DLL在内存中重建，该脚本就会调用[Reflection.Assembly]::Load()来执行加载程序，整个过程不会接触磁盘。

持久化与凭据窃取

加载到内存后，DarkCloud Stealer 通过将 JavaScript 有效载荷复制到 Windows 运行注册表项（伪装成 MSBuild.exe 的M3hd0pf.exe）来建立持久性，确保在每次用户登录时执行。

随后，该窃取程序利用进程空洞技术注入到MSBuild.exe和mtstocom.exe等合法进程中，从而能够从Chrome的Login Data等浏览器数据库中窃取保存的凭据。

来自端点检测平台的警报证实了数据保护应用程序编程接口（DPAPI）访问事件以及对浏览器进程的内存映射，这揭示了有人试图直接在内存中解密存储的密码。

最后，被盗数据被存放在用户目录中，并通过FTP和HTTP渠道窃取到动态域名集群（.shop、.xyz），这使得基于网络的检测变得复杂。

金融机构应密切监控异常的VBE/VBS执行、意外的注册表Run键修改以及公共下载文件夹中的JavaScript文件，以便快速检测并阻止这一阴险的攻击活动。