黑客将 VenomRAT 恶意软件隐藏在虚拟硬盘映像文件中

Forcepoint X-Labs 研究人员发现一种新恶意软件活动，该活动一直在通过 VenomRAT 传播并感染目标，VenomRAT 是一种远程访问木马，以针对研究人员进行虚假 PoC（概念验证）攻击而闻名。

在本次活动中，网络犯罪分子没有传播通常的受感染的文档或可执行文件，而是传播隐藏在虚拟硬盘映像文件 (.vhd) 中的危险的VenomRAT 。

此次攻击活动始于一封钓鱼邮件。这次的诱饵是一份看似无害的采购订单。然而，打开附件存档后，用户看到的并不是一份普通的文档。而是一个 .vhd 文件，即一个模拟物理硬盘的容器。

用户双击打开 .vhd 文件时，计算机会将其加载为新驱动器，其中包含旨在造成危害的恶意批处理脚本。使用 .vhd 文件传播恶意软件是一种新技巧。这类文件通常用于磁盘映像和虚拟化，安全软件默认不扫描这些文件。

攻击并窃取用户数据

根据Forcepoint X-Labs 的研究，该恶意软件脚本被多层代码伪装，一旦激活就会执行一系列恶意活动。它首先进行自我复制，确保始终有一份副本可用。

然后，它启动 PowerShell（一种经常被攻击者利用的合法 Windows 工具），并通过在启动文件夹中放置恶意脚本来建立持久性，允许其在用户登录时自动运行。该脚本会修改 Windows 注册表设置，使其更难被检测和删除。

该恶意软件还通过连接到流行的文本共享平台Pastebin来使用隐藏通信，从远程命令和控制 (C2) 服务器（作为攻击者的命令中心）获取指令。一旦建立，该恶意软件就会启动数据窃取，记录击键并将敏感信息存储在配置文件中。它还会下载其他组件，包括 .NET 可执行文件，以协助加密和系统操纵。

研究人员指出，该 VenomRAT 变种使用了HVNC（隐藏虚拟网络计算），这是一种远程控制服务，允许攻击者在不被发现的情况下控制受感染的系统。

技术报告：

https://www.forcepoint.com/blog/x-labs/venomrat-malware-uses-virtual-hard-drives

新闻链接：

https://hackread.com/hackers-hide-venomrat-malware-virtual-hard-disk-files/

讲述普通人能听懂的安全故事