近期,瑞星威胁情报平台在日常安全监测中发现,开源托管平台 GitHub 上存在针对多个知名开源项目的恶意投毒行为。其中,由用户 windiow-2048 发布的 Windows 平台知名工具 The Fastest Mouse Clicker for Windows(鼠标连点器)项目首当其冲。攻击者将恶意程序经由 Advanced Installer 打包后藏匿于 MSI 安装包中,用户一旦下载并执行安装,便会在暗中触发恶意模块分发、植入并运行挖矿程序,导致严重的终端安全风险。
作为近年来在国内猖獗的远控木马家族,银狐木马从一开始就将仿冒网站结合FakeApp(伪装成正常软件安装包,运行后除了正常执行对应软件的安装程序外还会激活内嵌的恶意程序)作为其主要传播手段之一。一开始它仿冒的软件只有一些国内无法通过常规途径获取的软件,之后它将仿冒的触手伸向了更多的知名软件,且在安装包上不断地尝试更多的方案以绕过安全软件的静态扫描同时对抗人工分析。
对于获取FakeApp前必须访问的仿冒网站而言,搜索引擎为其主要传播途径。攻击者利用SEO以及直接在搜索引擎上投放广告等手段,来使仿冒网站排名靠前,诱导用户点击访问
瑞星在2025年对这一传播手段进行了一整年的追踪分析与数据统计,本文首先将对一些统计数据进行展示与分析,随后会对三个使用较为新颖的手法对抗静态扫描和人工分析的案例进行更深入的分析。
近日瑞星威胁情报平台捕获某敏感单位上报的一款高度隐蔽且功能复杂的恶意样本,其采用多层次隐蔽技术,包括直接系统调用、内存执行、日志阻断等手段,有效规避常规安全检测机制。该样本具备完整的攻击链能力,涵盖持久化驻留(通过计划任务、隐藏文件实现)、数据窃取(通过文档拷贝、压缩外传等方式)、远程控制(利用DoH、WMI指令通信)以及横向移动(借助可移动设备传播)等恶意行为模块。
近日瑞星威胁情报平台监测到一起针对知名开源Windows优化工具Optimizer的恶意攻击事件,攻击者将恶意代码植入该工具后进行二次打包,并通过网络渠道传播,该木马程序具备多重反检测机制——通过对环境特征检测技术规避虚拟机与沙箱分析,同时采用多层脚本动态加载和系统进程注入等手段突破安全防护,最终利用计划任务持久化驻留并启动后门脚本。