各位老铁,2025年第一季度已经过去,网络安全界那是相当的热闹,各种妖魔鬼怪层出不穷。今天,咱们就来盘点一下Q1季度最活跃的五大恶意软件,看看它们都有哪些骚操作!
一、NetSupport RAT:听说过“点点就中招”吗?
ClickFix技术:这年头,连验证码都不能信了!
2025年初,黑客们玩起了新花样,用上了ClickFix技术来传播NetSupport RAT(远程访问木马)。这技术简单来说,就是在被黑的网站上伪造验证码页面,诱导你输入一些奇奇怪怪的PowerShell命令,然后,Duang~,NetSupport RAT就住进你家了。一旦安装成功,你的电脑就成了黑客的“楚门的世界”,他们可以实时监控你的屏幕,随意操作你的文件,甚至执行任何命令!
NetSupport RAT的独门绝技
- 远程监控你的屏幕
,让你的一切操作都暴露在黑客的眼皮底下。 - 随意上传、下载、修改和删除你电脑里的文件
,想删啥删啥,想改啥改啥。 - 远程运行系统命令和PowerShell脚本
,你的电脑彻底成了黑客的玩具。 - 偷偷记录你复制的文本
,包括密码和各种敏感数据,简直细思极恐。 - 记录你的键盘敲击
,账号密码啥的,统统收入囊中。 - 启动、停止和修改系统进程和服务
,让你的电脑彻底瘫痪。 - 通过各种手段实现持久化
,让你防不胜防。 - 使用各种高级技术逃避检测
,让你根本发现不了它的存在。 - 加密流量,隐秘通信
,让你抓都抓不到。
当NetSupport RAT成功入侵你的电脑后,它会立刻和黑客的“秘密基地”(C2服务器)建立连接,这样黑客就可以远程控制你的电脑,为所欲为了。
检测到的 CnC 连接
NetSupport RAT 为了长期潜伏,也是用尽了各种手段:
- 修改注册表启动项
,让你每次开机都自动运行。 - 通过wscript.exe执行脚本
,神不知鬼不觉。 - 读取你的计算机名称
,摸清你的底细。 - 检查系统语言
,方便后续操作。 - 访问环境变量
,获取更多信息。 - 投放合法的Windows可执行文件
,迷惑你的眼睛。 - 创建远程控制的互联网连接对象
,方便黑客随时入侵。
NetSupport RAT 使用的主要TTP
二、Lynx 勒索软件:不给钱?那就等着上头条吧!
RaaS模式:勒索软件界的“滴滴打车”
Lynx 勒索软件可不是单打独斗,它搞的是“勒索软件即服务”(RaaS),就像勒索软件界的“滴滴打车”,提供完善的附属计划和强大的加密方法。简单来说,就是黑客开发出勒索软件,然后租给其他人去搞事情,最后大家一起分钱。
Lynx 甚至还提供用户友好的界面,让那些技术小白也能轻松上手,配置受害者资料,生成自定义勒索软件样本,管理数据泄露计划。
为了鼓励大家积极参与,Lynx 给附属公司提供80%的赎金收益分成!而且,他们还维护着一个泄密网站,如果受害者不给钱,就把偷来的数据公布于众,让你身败名裂!
Lynx 的“光辉战绩”
2025年第一季度,Lynx 勒索了一个澳大利亚卡车经销商系统,还黑了一家美国律师事务所,偷走了大量的敏感数据,然后威胁他们支付赎金。
Lynx 勒索软件的“必杀技”
- 加密所有文件
,包括本地驱动器、网络共享和可移动媒体,让你欲哭无泪。 - 针对特定文件类型、文件夹或扩展名进行加密
,精准打击。 - 在加密前窃取敏感数据
,包括文档、凭证和财务信息,让你彻底崩溃。 - 通过HTTPS或自定义加密通道传输被盗数据
,安全又隐蔽。 - 删除卷影副本并禁用Windows恢复功能
,让你想恢复都难。 - 关闭可能阻止加密的应用程序
,确保加密过程顺利进行。 - 使用凭证转储技术提取存储的密码
,让你毫无隐私可言。 - 通过Tor网络匿名通信
,让你抓不到它。 - 检测虚拟机和沙箱环境
,逃避分析。 - 在内存中运行
,避免将文件写入磁盘,更加隐蔽。
一旦你的电脑被Lynx感染,桌面就会被替换成勒索信息,告诉你你的数据已经被盗和加密,让你赶紧下载Tor浏览器联系他们。
攻击者留下的勒索软件消息
而且,你的文件还会被重命名,加上.LYNX的扩展名,让你一眼就知道自己中招了。
检测到使用 .lynx 重命名的文件
三、AsyncRAT:听说过“套娃式攻击”吗?
Python 负载 + TryCloudflare 隧道:这波操作,秀!
2025年初,安全研究人员发现了一起复杂的恶意软件活动,这次的主角是AsyncRAT。这次攻击的特别之处在于,它使用了基于Python的有效负载,还利用了TryCloudflare隧道来增强隐身性和持久性,简直是秀到飞起!
攻击的流程是这样的:
- 网络钓鱼邮件
:攻击者会给你发一封包含Dropbox URL的邮件。 - 下载ZIP存档
:如果你点击链接,就会下载一个ZIP存档,里面藏着一个Internet快捷方式(URL)文件。 - 检索LNK文件
:这个URL文件会通过TryCloudflare URL检索一个Windows快捷方式(LNK)文件。 - 执行脚本
:执行LNK文件会触发一系列脚本,最终下载并执行Python负载。 - 部署恶意软件
:这个Python负载会部署多个恶意软件家族,包括AsyncRAT、Venom RAT和XWorm,简直是“买一送三”!
AsyncRAT 的“三板斧”
- 远程控制你的电脑
,执行命令,监控你的活动,管理你的文件,让你的一切都暴露在黑客的眼皮底下。 - 窃取敏感信息
,包括凭据和个人数据,让你毫无隐私可言。 - 修改系统注册表和利用启动文件夹
,实现长期访问,让你防不胜防。 - 使用混淆和加密
,逃避安全解决方案的检测,让你根本发现不了它的存在。
AsyncRAT 会连接到 masterpoldo02[. ]kozow[. ]COM 的 7575 端口,所以阻止这个域名并监控流向这个端口的流量,可以有效防止感染。
AsyncRAT 还会把自己安装在 %AppData% 目录下,伪装成合法应用程序,并使用互斥锁 (AsyncMutex_alosh) 来防止多个实例运行。
在受控环境中分析恶意配置
更骚的是,这个恶意软件还使用了AES加密,让你很难分析它的通信内容。
AsyncRAT 使用的 AES 加密
四、Lumma Stealer:GitHub:我不要面子的啊?
GitHub:我只是个工具人,呜呜呜...
2025年初,安全专家发现了一个复杂的活动,这次的主角是信息窃取恶意软件 Lumma Stealer。这次攻击最骚的操作就是,攻击者利用GitHub的发布基础设施来分发恶意软件!
Lumma Stealer 会窃取你的浏览器凭据、cookie、加密货币钱包和系统信息,然后发送到远程服务器,实现实时泄露。更可怕的是,它还可以下载和执行其他恶意软件,比如SectopRAT、Vidar和Cobeacon,简直是“病毒批发商”!
Lumma Stealer 的“盗窃技巧”
- 通过GitHub版本分发
,利用可信基础设施来逃避安全检测。 - 窃取浏览器凭据、cookie、加密货币钱包和系统信息
,让你毫无隐私可言。 - 将被盗数据发送到远程服务器
,实现实时泄露。 - 可以下载和执行其他恶意软件
,比如SectopRAT、Vidar和Cobeacon,简直是“病毒批发商”! - 使用注册表修改和启动项
,实现长期访问,让你防不胜防。
执行时,恶意软件会连接到它的命令和控制服务器,泄露你的敏感数据。
由 Lumma Stealer 触发的 Suricata 规则
分析还发现,Lumma 会从Web浏览器窃取凭据,泄露你的个人数据。
Lumma Stealer 盗窃凭据和个人数据
五、InvisibleFerret:虚假招聘?套路太深了!
“高薪”招聘?小心有诈!
最近,网络犯罪分子又玩起了新花样,他们利用InvisibleFerret(一种基于Python的隐蔽恶意软件)来攻击那些毫无戒心的求职者。
这些黑客会冒充招聘人员,诱骗你参加虚假的面试,然后让你下载一些“面试专用工具”,实际上,这些工具就是恶意软件!
InvisibleFerret 的“隐身术”
- 使用杂乱无章且混淆不清的Python脚本
,让你很难分析和检测。 - 主动搜索和泄露敏感信息
,包括源代码、加密货币钱包和个人文件,让你损失惨重。 - 通常会和另一种名为BeaverTail的恶意软件一起出现
,BeaverTail是一种基于JavaScript的混淆信息窃取程序和加载程序,简直是“最佳拍档”! - 在受感染的系统上建立持久性
,确保持续访问和控制,让你防不胜防。
InvisibleFerret 攻击的关键一步是部署 BeaverTail,这是一个恶意的NPM模块,它可以提供一个可移植的Python环境(p.zip)来执行恶意软件。
分析InvisibleFerret的泄露信息
BeaverTail 就像一个“先锋官”,负责为 InvisibleFerret 铺路,而 InvisibleFerret 则是一个具有高级混淆和持久性机制的隐蔽后门,让你很难发现它的存在。
总而言之,2025年第一季度的网络安全形势依然严峻,各种恶意软件层出不穷,攻击手段也越来越狡猾。所以,大家一定要提高警惕,加强防范,才能保护自己的网络安全!
黑客/
原文始发于微信公众号(龙哥网络安全):2025年Q1网络安全圈“五虎上将”:恶意软件攻击趋势大揭秘!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论