解析TransferLoader恶意软件：基于IPFS的混淆加载器可分发勒索软件与后门程序

Zscaler旗下ThreatLabz研究团队近日发现一款名为TransferLoader的新型高危恶意软件加载器，该恶意软件至少自2025年2月起就已在野活跃。这个先进的模块化威胁并非普通下载器，而是一个具备高度混淆和反分析能力的恶意软件平台，能够投递从隐蔽后门到Morpheus勒索软件等多种有效载荷。目前已观测到其针对美国律师事务所的攻击案例。

模块化恶意架构

ThreatLabz在报告中指出："TransferLoader是一种新型恶意软件加载器...包含下载器、后门程序和后门加载器等多个组件。"

该下载器通过HTTPS协议使用自定义标头获取恶意负载，并采用位异或循环（bitwise-XOR loop）进行解密。其可能显示诱饵PDF文件，或静默重启Explorer进程以隐藏自身执行痕迹。

分析报告解释称："该下载器的主要目的是从C2服务器获取额外有效载荷，并执行诱饵文件。"

精密反检测机制

专门用于内存中执行后门的加载器组件会读取配置数据，确保执行环境（如在explorer.exe或wordpad.exe进程中），并设置COM劫持。它还使用命名管道接收配置指令，可获取更新C2服务器、设置休眠计时器或在内存中执行任意PE文件的指令。

后门程序作为核心组件，主要执行以下操作：

• 执行远程shell命令
• 文件上传/下载
• 系统侦察与数据收集
• 自我清除与清理

当主C2服务器不可用时，它会通过星际文件系统（InterPlanetary File System，IPFS）获取新的C2地址。分析指出："该后门利用去中心化的IPFS点对点平台作为更新命令与控制（C2）服务器的备用通道。"

多维度防御规避技术

TransferLoader同时支持TCP和HTTP协议，采用自定义流密码加密通信——包含有缺陷的块交换和嵌套加密层。其设计可规避静态和动态分析：

• 垃圾代码干扰反汇编过程
• 解密例程依赖自定义Base32方案和AES变体
• 执行前验证命令行参数和进程名称
• 通过进程环境块（PEB）中的BeingDebugged标志检测调试行为

报告强调："TransferLoader及其有效载荷包含多种反分析方法...包括垃圾代码块、动态API解析和运行时字符串解密。"

虽然报告未对Morpheus勒索软件进行深入分析，但通过TransferLoader分发的事实表明该加载器正在演变为多功能投递平台。分析总结道："鉴于TransferLoader在部署勒索软件等附加有效载荷方面的一贯表现，我们预计威胁行为者将在未来攻击中继续依赖它。"