安全公司Blackpoint Cyber最近揪出一枚特别会“演戏”的木马——LabubaRAT。它直接套上英伟达显卡驱动的马甲,以“nvidia-sysruntime.exe”的文件名流窜,诱导用户安装。一旦上当,攻击者就有办法在Windows系统里扎下根,持续远程操控整台机器。
这枚木马用Rust语言写成,运行后先给落脚点做个快速体检,收集设备软硬件信息。接着,它借助HTTPS加密传输、浏览器组件WebView2和DNS隧道三条通道,从黑客的指挥控制服务器悄悄拉取恶意脚本。三路互为兜底,想靠切断单一通道来阻断它并不容易。
![]()
功能上,LabubaRAT几乎把远程控制玩出了“全家桶”的阵仗:能跑任意命令、执行PowerShell和JavaScript脚本、截屏、上传下载文件、压缩数据,甚至在被感染的机器上搭建SOCKS5代理,把内网变成攻击者的跳板。在AI开发和企用环境里,这类能力一旦被滥用,训练数据、云端凭证都容易裸奔。
更让人担心的是供应链隐患。研究人员注意到,该木马有转向“恶意软件即服务”的苗头,未来可能用订阅制出租,大幅降低攻击门槛。而英伟达驱动在科研、企业和AI圈子里安装量巨大,如果仿冒驱动继续扩散,波及面会非常可观。
安全人员给出的建议很朴素:无论个人开发者还是企业IT,都别为省事从第三方网站下驱动,认准官网或系统更新渠道。伪装套路虽不新鲜,但每次都能揪出一批粗心的用户。下次看到那个以“nvidia-”开头、带.exe后缀的东西,先别急着双击。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.