Posted in威胁分析
“幽影劫持者”:多维度渗透与持久化控制的复合型恶意样本剖析
概述
近日瑞星威胁情报平台捕获某敏感单位上报的一款高度隐蔽且功能复杂的恶意样本,其采用多层次隐蔽技术,包括直接系统调用、内存执行、日志阻断等手段,有效规避常规安全检测机制。该样本具备完整的攻击链能力,涵盖持久化驻留(通过计划任务、隐藏文件实现)、数据窃取(通过文档拷贝、压缩外传等方式)、远程控制(利用DoH、WMI指令通信)以及横向移动(借助可移动设备传播)等恶意行为模块。
Posted in威胁分析
“Optimizer”之殇:反检测与持久化“双剑合璧”的恶意代码剖析
概述
近日瑞星威胁情报平台监测到一起针对知名开源Windows优化工具Optimizer的恶意攻击事件,攻击者将恶意代码植入该工具后进行二次打包,并通过网络渠道传播,该木马程序具备多重反检测机制——通过对环境特征检测技术规避虚拟机与沙箱分析,同时采用多层脚本动态加载和系统进程注入等手段突破安全防护,最终利用计划任务持久化驻留并启动后门脚本。
Posted in威胁分析
“本地处理”的谎言:PDFClick如何将用户文件“暗渡陈仓”至远程服务器
概述
近日瑞星威胁情报平台捕获到一款名为PDFClick的流氓软件,该软件为魔改的PyInstaller打包的EXE文件,其运行行为具有明显的条件判断逻辑:若检测到系统已安装Chrome浏览器,则自动下载更新程序并添加计划任务以实现持久化驻留;若未检测到Chrome浏览器,则跳过下载步骤。更新程序会进一步判断当前进程是否在64位模式下运行,并通过多种方式加载从服务端回传的加密数据。
值得注意的是,该软件官网宣称其功能为“本地处理所有文件”,但通过技术分析发现,其实际文件处理逻辑为将用户文件上传至远程服务器进行处理,这一行为与官网描述存在显著矛盾,表明其可能存在数据泄露或恶意操作风险。
Posted in威胁分析
Steam游戏补丁惊变“木马陷阱”:StealC木马如何悄然潜入玩家系统?
概述
近日瑞星威胁情报平台捕获到一起利用合法游戏平台Steam传播恶意软件的攻击事件,攻击者将高度定制化的信息窃取工具StealC木马伪装成Steam平台热门游戏BlockBlasters的官方补丁进行分发,该木马通过多层脚本加载技术绕过安全检测,最终解压并运行StealC木马。StealC木马是一种高度定制化的信息窃取恶意软件,其核心威胁在于广泛窃取浏览器存储的密码、Cookie、自动填充数据及加密货币钱包私钥,并支持按攻击者需求定向窃取特定文件类型。