新版Gremlin竊資程式以XOR編碼隱藏惡意內容，提高靜態分析難度

Gremlin是一種竊資惡意程式，會從受害電腦蒐集敏感資料，再傳送到攻擊者控制的伺服器。Unit 42指出，該惡意程式鎖定瀏覽器、系統剪貼簿與本機儲存資料，可能竊取信用卡資料、瀏覽器Cookie、工作階段權杖、加密貨幣錢包資料，以及FTP與VPN帳密。

新版Gremlin的變化在於，攻擊者進一步隱藏關鍵設定與惡意內容，將其放進.NET資源區段。該區段原本用來存放程式需要的資料，但攻擊者將其用來藏匿惡意內容。研究人員表示，必須先套用單位元組XOR解密，才能還原命令控制伺服器網址與資料外洩路徑。

新設計直接提高靜態分析難度，由於安全研究人員原先可不執行可疑檔案，而是檢查檔案內的文字、函式名稱、連線位址與其他特徵，判斷其是否具有惡意行為，不過新版Gremlin刻意遮蔽這些線索，使分析人員更難只靠檔案內容完成初步判讀。

另外，新版Gremlin還採分階段載入方式，關鍵功能只有在需要時才會從.NET資源區段解密並載入記憶體。相較於舊版樣本仍保留函式匯出項目與內部符號，新版樣本搭配名稱混淆、字串加密與控制流程混淆，讓分析人員更可能需要在受控環境中實際觀察程式行為。

Gremlin在功能面也有強化，研究人員指出，新版加入Discord權杖竊取模組，並具備加密貨幣剪貼簿竄改能力，當使用者複製加密貨幣錢包地址時，惡意程式可能偵測剪貼簿內容，並將地址替換成攻擊者控制的錢包地址。新版Gremlin還具有WebSocket為基礎的工作階段劫持模組，會直接向執行中的Chromium核心瀏覽器程序要求資料，因此Gremlin能嘗試取得仍在使用中的瀏覽器工作階段資料，並繞過部分現代瀏覽器的Cookie保護機制。

Gremlin會把竊得的資料打包成ZIP壓縮檔，再上傳到攻擊者控制的新站點，檔名則以受害者公開IP位址作為識別。還有Gremlin樣本使用商業加殼工具與指令虛擬化技術，進一步增加逆向分析門檻。