自從第一種電腦病毒出現以來，惡意軟體就一直是駭客和安全研究人員之間的貓捉老鼠遊戲。現在，大多數惡意軟體至少在類型和傳輸方式上是已知的。不過，壞人偶爾也會想出一些新花招來隱藏自己的蹤跡。

安全分析公司Mandiant 最近發現了一個”前所未見”的攻擊鏈，該攻擊鏈至少在兩個不同的網站上使用Base 64 編碼來傳輸三階段惡意軟體的第二階段有效載荷。這兩個網站分別是科技網站Ars Technica 和影片託管網站Vimeo。

一位用戶在Ars Technica 論壇上發布了一張披薩的圖片，並配文”我喜歡披薩”。圖片或文字本身沒有任何問題。然而，這張照片是由第三方網站託管的，其URL 包含Base 64 字串。 Base 64 轉換為ASCII 後看起來像隨機字符，但在這種情況下，它混淆了下載和安裝惡意軟體包第二階段的二進位指令。在另一個案例中，一個相同的字串出現在Vimeo 上一個無害影片的描述中。

Ars Technica 發言人說，在一位匿名用戶向該網站舉報圖片（下圖）的奇怪連結後，Ars Technica 刪除了這個去年11 月創建的帳戶。

Mandiant說，它已確定該代碼屬於一個名為UNC4990 的威脅行為者，自2020 年以來，它一直在追蹤該行為者。對於大多數使用者來說，這些指令沒有任何作用。它只能在已經包含第一階段惡意軟體（explorer.ps1）的裝置上運作。 UNC4990 透過受感染的隨身碟傳播第一階段，這些隨身碟被配置為連結到託管在GitHub 和GitLab 上的檔案。

第二階段稱為”空空間”，是一個在瀏覽器和文字編輯器中顯示為空白的文字檔案。然而，用十六進位編輯器打開它，就會看到一個二進位文件，該文件使用空格、製表符和新行等巧妙的編碼方案來創建可執行的二進位代碼。 Mandiant承認以前從未見過這種技術。

Mandiant 的研究員Yash Gupta表示：「這是我們看到的一種不同的、新穎的濫用方式，很難被發現。是我們在惡意軟體中通常見不到的。這對我們來說非常有趣，也是我們想要指出的。”

執行後，Emptyspace 會不斷輪詢指令和控制伺服器，並根據指令下載一個名為”Quietboard”的後門。 UNC4990 利用該後門在受感染的機器上安裝加密貨幣礦機。不過，Mandiant 表示，它只追蹤到一個安裝Quietboard 的實例。

鑑於Quietboard 的罕見性，UNC4990 的攻擊造成的威脅微乎其微。但是，explorer.ps1 和Emptyspace 的感染率可能會更高，使用戶易受攻擊。 Mandiant 在其部落格中解釋瞭如何檢測感染。