![]()
威胁行为者正在诱使毫无戒心的用户运行经过木马化的游戏工具,这些工具通过浏览器和聊天平台分发,目的是传播远程访问木马(RAT)。
微软威胁情报团队在X平台上发布的帖子中表示:"恶意下载器部署了一个便携式Java运行时,并执行了一个名为jd-gui.jar的恶意Java存档文件。这个下载器使用PowerShell和系统自带工具如cmstp.exe进行隐蔽执行。"
攻击链还被设计为通过删除初始下载器以及为RAT组件配置Microsoft Defender排除项来逃避检测。
通过名为"world.vbs"的计划任务和Windows启动脚本实现持久性,然后在受感染的主机上部署最终载荷。根据微软的说法,这个恶意软件是一个"多用途恶意软件",充当加载器、运行器、下载器和RAT。
一旦启动,它会连接到"79.110.49[.]15"的外部服务器进行命令和控制(C2)通信,使其能够泄露数据并部署额外载荷。
作为防御此威胁的方法,建议用户审计Microsoft Defender排除项和计划任务,移除恶意任务和启动脚本,隔离受影响的终端,并为在受感染主机上活跃的用户重置凭据。
这一披露之际,BlackFog披露了一个名为Steaelite的新Windows RAT恶意软件系列的详细信息,该系列于2025年11月首次在犯罪论坛上被宣传为具有"完全不可检测"(FUD)能力的"最佳Windows RAT"。它与Windows 10和11都兼容。
与其他出售给犯罪行为者的现成RAT不同,Steaelite将数据盗窃和勒索软件捆绑在一起,将它们打包到一个网络面板中,还有一个Android勒索软件模块正在开发中。该面板还集成了各种开发工具,以促进键盘记录、客户端到受害者聊天、文件搜索、USB传播、壁纸修改、UAC绕过和剪贴板功能。
其他值得注意的功能包括移除竞争恶意软件、禁用Microsoft Defender或配置排除项,以及安装持久性方法。
至于其主要功能,Steaelite RAT支持远程代码执行、文件管理、实时流媒体、网络摄像头和麦克风访问、进程管理、剪贴板监控、密码盗窃、已安装程序枚举、位置跟踪、任意文件执行、URL打开、DDoS攻击和VB.NET载荷编译。
安全研究员Wendy McCague表示:"该工具为操作员提供了对受感染Windows机器的基于浏览器的控制,涵盖远程代码执行、凭据盗窃、实时监控、文件泄露和勒索软件部署,全部集中在一个仪表板中。"
"单个威胁行为者可以从同一个仪表板浏览文件、泄露文档、收集凭据和部署勒索软件。这使得从一个工具实现完整的双重勒索成为可能。"
最近几周,威胁猎手还发现了两个新的RAT系列,被追踪为DesckVB RAT和KazakRAT,它们能够对受感染主机进行全面远程控制,甚至可以在入侵后有选择性地部署功能。根据Ctrl Alt Intel的说法,KazakRAT疑似是一个疑似国家支持的集团的作品,该集团针对哈萨克斯坦和阿富汗实体进行持续性活动,至少从2022年8月开始。
Q&A
Q1:这些木马化游戏工具是如何传播的?
A:威胁行为者通过浏览器和聊天平台分发这些木马化的游戏工具。恶意下载器会部署便携式Java运行时并执行名为jd-gui.jar的恶意Java存档文件,使用PowerShell和系统自带工具进行隐蔽执行。
Q2:Steaelite RAT有什么特殊功能?
A:Steaelite RAT将数据盗窃和勒索软件捆绑在一个网络面板中,支持远程代码执行、文件管理、实时监控、密码盗窃、位置跟踪等功能。它还能移除竞争恶意软件、禁用Microsoft Defender,使威胁行为者能够从单一工具实现完整的双重勒索。
Q3:如何防御这类RAT威胁?
A:建议用户审计Microsoft Defender排除项和计划任务,移除恶意任务和启动脚本,隔离受影响的终端,并为在受感染主机上活跃的用户重置凭据。定期检查系统中的异常进程和网络连接也很重要。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.