VIP Recovery恶意软件感染链：邮件附件与流量分析详解

本文详细分析了2026年1月9日发生的VIP Recovery恶意软件感染事件。文章深入剖析了从钓鱼邮件附件（7z压缩包内嵌VBS脚本）到恶意文件下载、可执行文件投放，以及最终数据外泄的完整攻击链，并提供了关键的网络流量特征、文件哈希和基础设施IoC信息。

2026-01-09 (周五): VIP Recovery邮件附件感染事件

注意： Zip文件受密码保护。值得注意的是，该网站采用了新的密码方案。有关密码信息，请参阅本网站的“关于”页面。

关联文件：

2026-01-09-IOCs-from-VIP-Recovery-infection.txt.zip - 1.8 kB (1，816 字节)
2026-01-09-VIP-Recovery-malspam-0655-UTC.eml.zip - 10.8 kB (10，755 字节)
2026-01-09-VIP-Recovery-traffic.pcap.zip - 6.6 MB (6，569，541 字节)
2026-01-09-files-from-the-VIP-recovery-infection.zip - 7.8 MB (7，755，018 字节)

说明

部分情报源称此恶意软件为“VIP键盘记录器”，但数据外泄邮件的主题行标记为“VIP Recovery”。

感染链

电子邮件 –> 附件中的压缩包 –> 提取出的VBS文件 –> 检索并运行VIP Recovery相关文件

电子邮件信息

接收自： slot0.morecft[.]shop (slot0.morecft[.]shop [195.54.161[.]236]) [信息已移除]； 2026年1月9日星期五 06:55:06 (UTC)
发件人： Ms. Maggie Wu
主题： Request for Quotation (RFQ) -RFQ/2026/10/26
日期： 2026年1月9日 01:55:04 -0500
附件名称： Request for Quotation (RFQ) -RFQ20261026.7z

邮件附件及提取的文件

压缩包附件：

SHA256哈希值： a51ec9b082b024d863e53505e2bd2276ce2e4f575bf2b8cb3356124a662bfacd
文件大小： 6,065 字节
文件类型： 7-zip压缩档案数据，版本 0.4
文件名称： Request for Quotation (RFQ) -RFQ20261026.7z

提取的VBS文件：

SHA256哈希值： 7b998e3e817d913700336ceb36e178f39182ca60038f55624383857ab921bc4c
文件大小： 16,051 字节
文件类型： ASCII文本，带有CRLF、LF换行符
文件名称： Documented_Invoice_305.vbs

运行VBS文件后的初始网络流量

18:04:43 UTC - TCP端口 80 - hxxps[:]//firebasestorage.googleapis[.]com/v0/b/remasd-6c702.firebasestorage.app/o/image.jpg?alt=media&token=[信息已移除]
18:04:44 UTC - TCP端口 80 - hxxps[:]//1zil1.s3.cubbit[.]eu/don-snake-vipupload.txt

从上述URL下载的文件

从Firebase存储下载的文件：

SHA256哈希值： 573507ffbef1dcbc354c0ae29c71051c8790b4bbd06d71ee6d68078862cf0ab4
文件大小： 2,404,423 字节
文件类型： JPEG图像数据
文件来源： hxxps[:]//firebasestorage.googleapis[.]com/v0/b/remasd-6c702.firebasestorage.app/o/image.jpg?alt=media&token=[信息已移除]
说明： 从上述URL获取的图像中嵌有Base64编码的文本。

从Cubbit存储下载的文件：

SHA256哈希值： 71773949eb6fa255bd1e633f55127720a1b5ed46ecb28affb7bdd28b625fa4c9
文件大小： 3,936,172 字节
文件类型： ASCII文本，包含超长行(65536)，无换行符
文件来源： hxxps[:]//1zil1.s3.cubbit[.]eu/don-snake-vipupload.txt

从上述文件提取的可执行文件

来自Firebase图像（Base64转换）：

SHA256哈希值： f340b73cc89e25e6726a019b3e79c0b491b69b0c54ae3f02ba062879c48253df
文件大小： 98,304 字节
文件类型： PE32+ 可执行文件 (GUI) x86-64 Mono/.Net程序集，适用于MS Windows
文件描述： 从firebasestorage.googleapis[.]com URL图像中嵌入的Base64文本转换而来的EXE文件。

来自Cubbit文本（Base64反转并转换）：

SHA256哈希值： 6230ffa50d64f417bc06c469df83110f81af670ac70763b01797638e744ae2a7
文件大小： 2,952,129 字节
文件类型： PE32 可执行文件 (GUI) Intel 80386 Mono/.Net程序集，适用于MS Windows
文件描述： 从zil1.s3.cubbit[.]eu URL获取的Base64文本反转并转换而来的EXE文件。

感染后网络流量

18:04:48 UTC - TCP端口 80 - checkip.dyndns[.]org - GET /
18:04:49 UTC - TCP端口 80 - checkip.dyndns[.]org - GET /
18:04:49 UTC - TCP端口 443 - reallyfreegeoip[.]org - [HTTPS流量]
18:04:50 UTC - TCP端口 80 - checkip.dyndns[.]org - GET /
18:04:50 UTC - TCP端口 80 - checkip.dyndns[.]org - GET /
18:04:51 UTC - TCP端口 80 - checkip.dyndns[.]org - GET /
18:04:51 UTC - TCP端口 80 - checkip.dyndns[.]org - GET /
18:04:51 UTC - TCP端口 80 - checkip.dyndns[.]org - GET /
18:04:52 UTC - TCP端口 80 - checkip.dyndns[.]org - GET /
18:04:52 UTC - TCP端口 80 - checkip.dyndns[.]org - GET /
18:04:53 UTC - TCP端口 80 - checkip.dyndns[.]org - GET /
18:04:53 UTC - TCP端口 443 - api.telegram[.]org - [HTTPS流量]
18:05:00 UTC - 162.254.34[.]31:587 - eraqron[.]com - [未加密的SMTP流量]
18:05:05 UTC - 162.254.34[.]31:587 - eraqron[.]com - [未加密的SMTP流量]

数据外泄电子邮件地址

用于发送受害者数据的邮箱： rejump@eraqron[.]shop
用于接收受害者数据的邮箱： jump@eraqron[.]shop

图片说明

上图显示：电子邮件的截图、其附件以及附件内的VBS文件。
上图显示：Wireshark中过滤出的感染过程流量。
上图显示：其中一封数据外泄邮件的SMTP流量起始部分。

点击此处返回主页

版权所有 © 2026 | Malware-Traffic-Analysis.net

comments powered by Disqus