概述

  近日，瑞星威胁情报平台接到用户反馈，发现一起针对游戏玩家的攻击活动。攻击者制作假冒IndieGala平台成人游戏的恶意安装包，并通过网络渠道进行传播。该攻击链采用多层加载技术：先由Advanced Installer打包器释放MSI安装包，再通过PowerShell脚本添加Windows Defender排除项并下载加密载荷，最终部署SectopRAT远控木马。该木马具备较完整的窃密能力，可窃取40余款浏览器中的凭据与Cookie、加密货币钱包数据以及键盘记录，并可通过隐藏远程桌面（HVNC）实现对受害主机的进一步控制。攻击者还利用BSC区块链智能合约作为备用C2通道，体现出一定的反追踪与持久化能力。