威胁行为者正在诱使毫无戒心的用户运行经过木马化的游戏工具,这些工具通过浏览器和聊天平台分发,目的是传播远程访问木马(RAT)。
微软威胁情报团队在X平台上发布的帖子中表示:"恶意下载器部署了一个便携式Java运行时,并执行了一个名为jd-gui.jar的恶意Java存档文件。这个下载器使用PowerShell和系统自带工具如cmstp.exe进行隐蔽执行。"
攻击链还被设计为通过删除初始下载器以及为RAT组件配置Microsoft Defender排除项来逃避检测。
通过名为"world.vbs"的计划任务和Windows启动脚本实现持久性,然后在受感染的主机上部署最终载荷。根据微软的说法,这个恶意软件是一个"多用途恶意软件",充当加载器、运行器、下载器和RAT。
一旦启动,它会连接到"79.110.49[.]15"的外部服务器进行命令和控制(C2)通信,使其能够泄露数据并部署额外载荷。
作为防御此威胁的方法,建议用户审计Microsoft Defender排除项和计划任务,移除恶意任务和启动脚本,隔离受影响的终端,并为在受感染主机上活跃的用户重置凭据。
这一披露之际,BlackFog披露了一个名为Steaelite的新Windows RAT恶意软件系列的详细信息,该系列于2025年11月首次在犯罪论坛上被宣传为具有"完全不可检测"(FUD)能力的"最佳Windows RAT"。它与Windows 10和11都兼容。
与其他出售给犯罪行为者的现成RAT不同,Steaelite将数据盗窃和勒索软件捆绑在一起,将它们打包到一个网络面板中,还有一个Android勒索软件模块正在开发中。该面板还集成了各种开发工具,以促进键盘记录、客户端到受害者聊天、文件搜索、USB传播、壁纸修改、UAC绕过和剪贴板功能。
其他值得注意的功能包括移除竞争恶意软件、禁用Microsoft Defender或配置排除项,以及安装持久性方法。
至于其主要功能,Steaelite RAT支持远程代码执行、文件管理、实时流媒体、网络摄像头和麦克风访问、进程管理、剪贴板监控、密码盗窃、已安装程序枚举、位置跟踪、任意文件执行、URL打开、DDoS攻击和VB.NET载荷编译。
安全研究员Wendy McCague表示:"该工具为操作员提供了对受感染Windows机器的基于浏览器的控制,涵盖远程代码执行、凭据盗窃、实时监控、文件泄露和勒索软件部署,全部集中在一个仪表板中。"
"单个威胁行为者可以从同一个仪表板浏览文件、泄露文档、收集凭据和部署勒索软件。这使得从一个工具实现完整的双重勒索成为可能。"
最近几周,威胁猎手还发现了两个新的RAT系列,被追踪为DesckVB RAT和KazakRAT,它们能够对受感染主机进行全面远程控制,甚至可以在入侵后有选择性地部署功能。根据Ctrl Alt Intel的说法,KazakRAT疑似是一个疑似国家支持的集团的作品,该集团针对哈萨克斯坦和阿富汗实体进行持续性活动,至少从2022年8月开始。
Q&A
Q1:这些木马化游戏工具是如何传播的?
A:威胁行为者通过浏览器和聊天平台分发这些木马化的游戏工具。恶意下载器会部署便携式Java运行时并执行名为jd-gui.jar的恶意Java存档文件,使用PowerShell和系统自带工具进行隐蔽执行。
Q2:Steaelite RAT有什么特殊功能?
A:Steaelite RAT将数据盗窃和勒索软件捆绑在一个网络面板中,支持远程代码执行、文件管理、实时监控、密码盗窃、位置跟踪等功能。它还能移除竞争恶意软件、禁用Microsoft Defender,使威胁行为者能够从单一工具实现完整的双重勒索。
Q3:如何防御这类RAT威胁?
A:建议用户审计Microsoft Defender排除项和计划任务,移除恶意任务和启动脚本,隔离受影响的终端,并为在受感染主机上活跃的用户重置凭据。定期检查系统中的异常进程和网络连接也很重要。
好文章,需要你的鼓励
美国最高法院以6比3的投票结果,裁定手机位置信息受第四修正案隐私权保护。法院认为,用户在使用谷歌等科技公司服务时,并非主动共享位置数据,因此执法机构在申请地理围栏搜查令时,必须证明存在"合理犯罪嫌疑"并获得法院批准。此裁决虽未完全禁止地理围栏搜查令,但对其使用范围加以限制,对美国执法实践及隐私保护具有深远影响。
南加州大学团队发现语音抑郁检测领域存在数据漏洞,并提出CLeaD跨语言对比对齐框架,揭示模型规模越大跨语言性能越差的反直觉规律。
佛罗里达州男子Angelo Martino以网络安全公司勒索软件谈判员身份为掩护,与黑客合谋部署BlackCat勒索软件攻击美国企业,被判处逾五年有期徒刑。美国司法部同时没收其逾1000万美元加密货币及资产。Martino与Kevin Martin、Ryan Goldberg三人于2023年联手实施多起攻击,其中一次成功勒索约120万美元后三人平分。BlackCat曾于2024年2月入侵医疗巨头Change Healthcare,导致逾1.92亿人敏感数据外泄。
KAIST等机构提出3D HAMSTER,通过为视觉语言模型加入深度编码器和几何重建损失,让机器人规划器直接输出三维轨迹,解决了分层机器人系统中规划与执行的维度不匹配问题,显著提升了操作鲁棒性。