游戏玩家注意！检测到一种隐蔽的远程访问木马

虽然它表面上营销为合法程序，但 Flare Systems 的网络情报平台显示，SeroXen 在黑客论坛上实际宣传为远程访问木马，声称能够在不被发现的情况下访问计算机。该远程访问程序的低成本及易获取性使其很容易被滥用，AT&T 自 SeroXen 面世以来已经观察到数百个样本，并且最近活动有所增加。SeroXen 主要通过流行游戏如《堡垒之夜》和《使命召唤：战区》等的作弊方式传播，目前大多数受害者都是游戏社区的成员。但随着该工具的普及，攻击范围扩大到大型公司和组织可能只是时间问题。

AT&T 在分析后发现，SeroXen 的开发基于各种开源项目，包括 Quasar RAT、r77-rootkit 和 NirCmd 命令行工具。Quasar RAT 是一个免费发布在 GitHub 上的开源远程管理工具，最初发布于 2014 年。它的最新版本 1.41 具有反向代理、远程 Shell、远程桌面、TLS 通信和文件管理系统。r77-rootkit 是一个开源 rootkit，主要功能为无文件持久性、子进程挂钩、恶意软件嵌入、内存进程注入和免杀等。NirCmd 则是一个免费的实用程序，可以从命令行执行简单的 Windows 系统和外围设备管理任务。

AT&T 在报告中评论道：“SeroXen 的开发者找到了一种强大的组合，利用免费资源开发了一种难以在静态和动态分析中检测到的 RAT。”

根据 AT&T 的分析，黑客通常是通过钓鱼邮件或 Discord 频道推送 SeroXen 进行攻击，分发的是包含严重混淆的批处理文件的 ZIP 存档。一旦受害者启动远程访问恶意软件，它就会与 C&C 服务器建立通信，并等待攻击者发出的命令。

该 RAT 非常难以检测，SeroXen 唯一创建的文件是 msconfig.exe，但是这个文件会被放在一个看起来合法的文件夹中，在注入到正在运行的进程后运行恶意软件并删除自身。由于该恶意软件是无文件的且仅在内存中执行，可能会导致一些杀毒软件无法检测到它。除此之外，它还具有一些其他功能，例如能够识别虚拟化环境，一旦它检测到自己是在虚拟机或其他沙箱中运行，就将中止执行，从而延迟威胁分析。

鉴于其造成的影响在将来很可能会扩大，AT&T 的 Alien Labs 团队表示其将继续监控 SeroXen 样本和基础设施的威胁态势。