/
多阶段VOID#GEIST恶意软件传播XWorm、AsyncRAT和Xeno RAT
网络安全研究人员披露了一项多阶段恶意软件攻击活动,该活动使用批处理脚本作为传播路径,投放XWorm、AsyncRAT和Xeno RAT等加密远程访问木马载荷。攻击链被命名为VOID#GEIST,通过混淆批处理脚本部署第二阶段脚本,植入合法Python运行时,并解密加密的shellcode。现代恶意软件越来越多地转向复杂的基于脚本的传播框架,模仿合法用户活动以规避检测。
伪装Laravel工具包的恶意软件攻击多平台系统
网络安全研究人员发现,Packagist平台上出现伪装成Laravel工具的恶意PHP包,可在Windows、macOS和Linux系统上部署远程访问木马。这些包包括nhattuanbl/lara-helper、nhattuanbl/simple-queue和nhattuanbl/lara-swagger,通过混淆技术隐藏恶意代码,连接到C2服务器执行系统侦察和远程命令。木马支持多种操作,包括截屏、文件上传下载和Shell执行,对安装了这些包的Laravel应用构成严重安全威胁。
恶意游戏工具通过浏览器和聊天平台传播Java远程访问木马
攻击者利用伪装的游戏工具通过浏览器和聊天平台传播远程访问木马。恶意下载器部署便携式Java运行时并执行恶意JAR文件,使用PowerShell和系统自带工具实现隐蔽执行。攻击链通过删除初始下载器和配置Windows Defender排除项来规避检测,通过计划任务和启动脚本实现持久化,最终连接外部服务器进行数据窃取。同时发现新型Windows RAT恶意软件家族Steaelite,集成数据盗窃和勒索软件功能。
研究人员在npm比特币主题包中发现隐藏的NodeCordRAT恶意软件
网络安全研究人员发现三个恶意npm包,用于传播名为NodeCordRAT的未记录恶意软件。这些包伪装成比特币相关库,通过安装脚本执行恶意载荷。NodeCordRAT是一个远程访问木马,具备数据窃取功能,能够盗取Chrome凭证、API令牌和MetaMask等加密货币钱包的助记词。该恶意软件利用Discord服务器进行命令控制通信,可执行任意命令、截屏和上传文件等操作。
京公网安备 11010802021500号
