最近趨勢科技發現了一個 Negasteal 惡意程式 (亦稱 Agent Tesla) 的變種，會經由 hastebin 以無檔案病毒(fileless malware)方式散布 Crysis 勒索病毒 (亦稱為 Dharma)。這是我們首次發現 Negasteal 會散布勒索病毒。

就在幾個月前，Deep Instinct 披露了第一個使用 hastebin.com 來散布惡意內容的 Negasteal 變種。Negasteal 是 2014 年被發現的間諜程式，採用付費訂閱方式在網路犯罪地下論壇提供服務，其幕後集團隨時都在精進其躲避技巧以維持市場地位。

Crysis 則是一個涉及多起知名攻擊的勒索病毒，一直在不斷推出新的變種以及各種不同技巧。Crysis 也跟 Negasteal 類似，採用付費服務的方式來經營，提供所謂的勒索病毒服務 (RaaS) 供其他犯罪集團使用。

經由網路釣魚郵件散布

這是趨勢科技第一次看到這兩個惡意程式服務結合在一起。根據我們蒐集到樣本顯示，此變種是經由網路釣魚郵件散布，如圖 1 所示：

趨勢科技發現一些像 TeamViewer、Rufus 與 YTD Video Downloader 這類合法的應用程式，最近被駭客夾帶了無檔案病毒(fileless malware)挖礦程式 (趨勢科技命名為 Coinminer.Win32.MALXMR.THHADBO)。這些應用程式的安裝檔並非來自官方下載來源或應用程式商店。在安裝的時候，安裝程式會將這些應用程式與一個惡意腳本 (VBS file) 安裝到使用者的系統。接著，惡意腳本會連線至一個網站來下載一個挖礦程式載入器，再由這個載入器將挖礦程式載入系統。

將挖礦程式與其他惡意程式夾帶在合法的應用程式安裝檔案當中 (例如視訊會議軟體) 早就不是什麼新鮮技巧，只不過，不熟悉這類手法的使用者很可能會不小心從可疑來源下載到這類檔案，因而使得自己的系統遭到感染。 

駭客會不停地創造更加先進的手法來讓惡意軟體躲避防禦。趨勢科技看到Netwalker勒索病毒 (勒索軟體/綁架病毒)攻擊所用的惡意軟體並無經過編譯，而是用PowerShell編寫並直接在記憶體內執行，不會將實際勒索病毒檔案儲存在硬碟裡。這讓此勒索病毒成為了無檔案病毒(fileless malware)，能夠保持持續性並利用系統內工具來進行攻擊而不被偵測。

此類惡意威脅利用被稱為映射（reflective）DLL注入的技術，也被稱為映射DLL載入。這項技術會從記憶體載入DLL而非從硬碟。因此會比一般的DLL注入更加具有隱蔽性，除了不需有實際DDL檔存在硬碟之外，也不需要Windows載入程式就可以進行注入。這樣就不用將DLL登錄為程序載入模組，避免了被DLL載入監控工具偵測。

我們最近看過了駭客利用此技術來部署ColdLock勒索病毒。而現在則看到使用同樣無檔案技術的Netwalker勒索病毒攻擊。惡意PowerShell腳本被偵測為Ransom.PS1.NETWALKER.B。