恶意游戏工具通过浏览器和聊天平台传播Java远程访问木马

威胁行为者正在诱使毫无戒心的用户运行经过木马化的游戏工具，这些工具通过浏览器和聊天平台分发，目的是传播远程访问木马(RAT)。

微软威胁情报团队在X平台上发布的帖子中表示："恶意下载器部署了一个便携式Java运行时，并执行了一个名为jd-gui.jar的恶意Java存档文件。这个下载器使用PowerShell和系统自带工具如cmstp.exe进行隐蔽执行。"

攻击链还被设计为通过删除初始下载器以及为RAT组件配置Microsoft Defender排除项来逃避检测。

通过名为"world.vbs"的计划任务和Windows启动脚本实现持久性，然后在受感染的主机上部署最终载荷。根据微软的说法，这个恶意软件是一个"多用途恶意软件"，充当加载器、运行器、下载器和RAT。

一旦启动，它会连接到"79.110.49[.]15"的外部服务器进行命令和控制(C2)通信，使其能够泄露数据并部署额外载荷。

作为防御此威胁的方法，建议用户审计Microsoft Defender排除项和计划任务，移除恶意任务和启动脚本，隔离受影响的终端，并为在受感染主机上活跃的用户重置凭据。

这一披露之际，BlackFog披露了一个名为Steaelite的新Windows RAT恶意软件系列的详细信息，该系列于2025年11月首次在犯罪论坛上被宣传为具有"完全不可检测"(FUD)能力的"最佳Windows RAT"。它与Windows 10和11都兼容。

与其他出售给犯罪行为者的现成RAT不同，Steaelite将数据盗窃和勒索软件捆绑在一起，将它们打包到一个网络面板中，还有一个Android勒索软件模块正在开发中。该面板还集成了各种开发工具，以促进键盘记录、客户端到受害者聊天、文件搜索、USB传播、壁纸修改、UAC绕过和剪贴板功能。

其他值得注意的功能包括移除竞争恶意软件、禁用Microsoft Defender或配置排除项，以及安装持久性方法。

至于其主要功能，Steaelite RAT支持远程代码执行、文件管理、实时流媒体、网络摄像头和麦克风访问、进程管理、剪贴板监控、密码盗窃、已安装程序枚举、位置跟踪、任意文件执行、URL打开、DDoS攻击和VB.NET载荷编译。

安全研究员Wendy McCague表示："该工具为操作员提供了对受感染Windows机器的基于浏览器的控制，涵盖远程代码执行、凭据盗窃、实时监控、文件泄露和勒索软件部署，全部集中在一个仪表板中。"

"单个威胁行为者可以从同一个仪表板浏览文件、泄露文档、收集凭据和部署勒索软件。这使得从一个工具实现完整的双重勒索成为可能。"

最近几周，威胁猎手还发现了两个新的RAT系列，被追踪为DesckVB RAT和KazakRAT，它们能够对受感染主机进行全面远程控制，甚至可以在入侵后有选择性地部署功能。根据Ctrl Alt Intel的说法，KazakRAT疑似是一个疑似国家支持的集团的作品，该集团针对哈萨克斯坦和阿富汗实体进行持续性活动，至少从2022年8月开始。

Q&A

Q1：这些木马化游戏工具是如何传播的？

A：威胁行为者通过浏览器和聊天平台分发这些木马化的游戏工具。恶意下载器会部署便携式Java运行时并执行名为jd-gui.jar的恶意Java存档文件，使用PowerShell和系统自带工具进行隐蔽执行。

Q2：Steaelite RAT有什么特殊功能？

A：Steaelite RAT将数据盗窃和勒索软件捆绑在一个网络面板中，支持远程代码执行、文件管理、实时监控、密码盗窃、位置跟踪等功能。它还能移除竞争恶意软件、禁用Microsoft Defender，使威胁行为者能够从单一工具实现完整的双重勒索。

Q3：如何防御这类RAT威胁？

A：建议用户审计Microsoft Defender排除项和计划任务，移除恶意任务和启动脚本，隔离受影响的终端，并为在受感染主机上活跃的用户重置凭据。定期检查系统中的异常进程和网络连接也很重要。