近日瑞星威胁情报平台捕获到一起针对开源下载管理器JDownloader官方网站的供应链攻击事件。攻击者利用官网CMS系统中的未修补漏洞,将官方下载页面中的安装程序链接替换为指向第三方恶意服务器的重定向地址,向用户投递以PyArmor 8+加密保护的基于Python 3.14的后门木马。Windows版本直接以脚本形式投递,Linux版本则通过PyInstaller打包为ELF二进制文件分发并具备root级持久化机制。此次攻击利用用户对官方分发渠道的信任,属于典型的网站级软件供应链攻击。
近日,瑞星威胁情报平台接到用户反馈,发现一起针对游戏玩家的攻击活动。攻击者制作假冒IndieGala平台成人游戏的恶意安装包,并通过网络渠道进行传播。该攻击链采用多层加载技术:先由Advanced Installer打包器释放MSI安装包,再通过PowerShell脚本添加Windows Defender排除项并下载加密载荷,最终部署SectopRAT远控木马。该木马具备较完整的窃密能力,可窃取40余款浏览器中的凭据与Cookie、加密货币钱包数据以及键盘记录,并可通过隐藏远程桌面(HVNC)实现对受害主机的进一步控制。攻击者还利用BSC区块链智能合约作为备用C2通道,体现出一定的反追踪与持久化能力。
近日瑞星威胁情报平台捕获某敏感单位上报的一款高度隐蔽且功能复杂的恶意样本,其采用多层次隐蔽技术,包括直接系统调用、内存执行、日志阻断等手段,有效规避常规安全检测机制。该样本具备完整的攻击链能力,涵盖持久化驻留(通过计划任务、隐藏文件实现)、数据窃取(通过文档拷贝、压缩外传等方式)、远程控制(利用DoH、WMI指令通信)以及横向移动(借助可移动设备传播)等恶意行为模块。
近日瑞星威胁情报平台监测到一起针对知名开源Windows优化工具Optimizer的恶意攻击事件,攻击者将恶意代码植入该工具后进行二次打包,并通过网络渠道传播,该木马程序具备多重反检测机制——通过对环境特征检测技术规避虚拟机与沙箱分析,同时采用多层脚本动态加载和系统进程注入等手段突破安全防护,最终利用计划任务持久化驻留并启动后门脚本。