安全公司 Flashpoint 曝光 DarkCloud 恶意木马，使用 VB 6.0“古董语言”编写以逃避现代杀毒软件检测

3 月 10 日消息，安全公司 Flashpoint 发文，曝光了一款名为 DarkCloud 的恶意木马，该工具自 2022 年左右在灰色渠道开始流传，定价据称为 30 美元（注：现汇率约合 207.4 元人民币），甚至低于许多游戏的发售价格。

据介绍，DarkCloud 在销售页面中将自己描述为“监控软件”，但其核心功能实际上是从受感染系统中提取凭证和敏感数据，能够收集受害者设备上的浏览器账号密码、Cookies、金融信息以及电子邮件客户端中的联系人数据等敏感信息。

研究人员指出，DarkCloud 最有意思的一点是其使用 Visual Basic 6.0“古董语言”编写，这是因为此类“古董语言”编写的木马在一定程度上难以被现代杀毒软件所检测到。

此外，DarkCloud 还采用多层字符串加密与代码混淆技术，以增加逆向分析难度。程序内部字符串在编译阶段保持加密状态，只有在运行时才会通过伪随机生成器按既定规则重新构造。研究人员指出，这些技术本身并未使用新型加密算法，而是利用旧式开发环境中的一些可预测行为来实现隐藏效果。