黑客利用c-ares DLL侧加载漏洞绕过安全系统投放恶意软件

网络安全专家披露了一起活跃的恶意软件攻击活动详情，黑客正在利用开源c-ares库相关合法二进制文件中的DLL侧加载漏洞来绕过安全控制，并投放各种商业木马和窃取程序。

攻击手法分析

Trellix在分享给相关媒体的报告中表示："攻击者通过将恶意的libcares-2.dll与任何已签名版本的合法ahost.exe文件（他们经常重命名该文件）配对来实现规避，从而执行他们的代码。这种DLL侧加载技术使恶意软件能够绕过传统的基于签名的安全防护。"

该攻击活动已被观察到分发各种恶意软件，包括Agent Tesla、CryptBot、Formbook、Lumma Stealer、Vidar Stealer、Remcos RAT、Quasar RAT、DCRat和XWorm等。

攻击目标主要是商业和工业领域（如石油天然气、进出口等）中从事金融、采购、供应链和管理工作的员工，诱饵文件使用阿拉伯语、西班牙语、葡萄牙语、波斯语和英语编写，表明攻击活动针对特定地区。

技术原理解析

攻击的核心在于将恶意版本的DLL文件放置在易受攻击的二进制文件同一目录中，利用其容易受到搜索顺序劫持的特点，执行恶意DLL的内容而非其合法对应文件，从而为威胁行为者提供代码执行能力。攻击活动中使用的"ahost.exe"可执行文件由GitKraken签名，通常作为GitKraken桌面应用程序的一部分进行分发。

在VirusTotal上对该恶意文件的分析显示，它以数十种名称分发，包括但不限于"RFQ_NO_04958_LG2049 pdf.exe"、"PO-069709-MQ02959-Order-S103509.exe"、"23RDJANUARY OVERDUE.INV.PDF.exe"、"sales contract po-00423-025_pdf.exe"和"Fatura da DHL.exe"，表明使用了发票和询价单主题来诱骗用户打开文件。

Facebook钓鱼攻击激增

Trellix还报告了利用浏览器内浏览器（BitB）技术的Facebook钓鱼诈骗激增，该技术模拟Facebook认证屏幕，欺骗毫无戒心的用户输入其凭据。这通过使用iframe元素在受害者的合法浏览器窗口内创建虚假弹窗来实现，使真实和虚假登录页面几乎无法区分。

研究员Mark Joseph Marti表示："攻击通常从钓鱼邮件开始，可能伪装成律师事务所的通信。这类邮件通常包含关于侵权视频的虚假法律通知，并包含伪装成Facebook登录链接的超链接。"

一旦受害者点击缩短的URL，他们就会被重定向到虚假的Meta验证码提示，指示受害者登录其Facebook账户。这反过来会触发一个弹窗，该弹窗采用BitB方法显示专为收集其凭据而设计的虚假登录屏幕。

多阶段恶意攻击活动

研究还发现了一个利用Python载荷和TryCloudflare隧道的多阶段钓鱼攻击活动，通过指向包含互联网快捷方式文件的ZIP压缩包的Dropbox链接来分发AsyncRAT。

Trend Micro表示："初始载荷是一个Windows脚本宿主文件，设计用于下载和执行托管在WebDAV服务器上的其他恶意脚本。这些脚本促进了批处理文件和进一步载荷的下载，确保了无缝且持久的感染例程。"

这种攻击的突出特点是滥用现有系统工具技术，使用Windows脚本宿主、PowerShell和本机实用程序，以及Cloudflare的免费基础设施来托管WebDAV服务器并逃避检测。

部署在TryCloudflare域上的脚本被设计为安装Python环境，通过Windows启动文件夹脚本建立持久性，并将AsyncRAT外壳代码注入"explorer.exe"进程。同时，向受害者显示诱饵PDF作为分散注意力的机制，误导他们认为访问了合法文档。

Q&A

Q1：什么是c-ares DLL侧加载攻击？它是如何工作的？

A：c-ares DLL侧加载攻击是黑客利用开源c-ares库相关合法二进制文件中的漏洞进行的攻击。攻击者将恶意的libcares-2.dll与已签名的合法ahost.exe文件配对，利用搜索顺序劫持让系统执行恶意DLL而非合法文件，从而绕过安全防护并获得代码执行能力。

Q2：Facebook钓鱼攻击中的浏览器内浏览器技术是什么？

A：浏览器内浏览器（BitB）技术是一种钓鱼手段，通过使用iframe元素在受害者的合法浏览器窗口内创建虚假弹窗来模拟Facebook认证屏幕。这种技术使真实和虚假登录页面几乎无法区分，欺骗用户输入登录凭据。

Q3：AsyncRAT恶意软件是通过什么方式传播的？

A：AsyncRAT通过多阶段钓鱼攻击活动传播，利用Python载荷和TryCloudflare隧道，通过指向包含互联网快捷方式文件ZIP压缩包的Dropbox链接进行分发。攻击使用Windows脚本宿主文件作为初始载荷，下载执行托管在WebDAV服务器上的恶意脚本，并最终将恶意代码注入系统进程。