一种名为 SectopRAT 的复杂新型恶意软件变种已经出现，它利用了 Cloudflare 的 Turnstile 验证系统作为其攻击手段的一部分。

这种远程访问木马（RAT）专门通过一个分多个阶段的感染过程来针对 Windows 用户，该过程始于看似合法的验证码（CAPTCHA）验证提示。

该恶意软件利用了用户对 Cloudflare 安全机制的信任来传输其恶意负载，这标志着社会工程策略出现了令人担忧的演变。

攻击通常在用户访问已被攻陷的网站时开始，这些网站会显示一个看似标准的 Cloudflare Turnstile  验证。

与旨在验证用户为真人的合法验证不同，这些被恶意利用的验证实例充当了 SectopRAT 恶意软件的传输机制。

当用户完成验证时，恶意软件会在向受害者显示正常的网站访问体验的同时，启动一个隐蔽的下载过程。

多家安全研究公司的 Inde 分析师在观察到企业网络中感染数量大幅上升后，发现了这一威胁。

他们的分析显示，SectopRAT 采用了复杂的混淆技术和模块化架构，使攻击者能够根据目标环境部署不同的功能。

研究人员注意到，受感染的机器与此前未知的命令与控制服务器之间存在异常的流量模式，这些服务器主要位于东欧。

SectopRAT 特别令人担忧的地方在于，它能够在规避传统安全解决方案的同时建立持久的访问权限。

该恶意软件会在 Windows 注册表和计划任务中创建多个冗余的持久化机制，以确保即使其中一种方法被发现并清除，它仍能保持访问权限。

安全团队报告称，该恶意软件的反分析能力使得检测工作尤其具有挑战性。

感染机制

感染过程始于嵌入在伪造的 Turnstile  验证中的基于 JavaScript 的加载器。

当用户与验证挑战进行交互时，加载器会先执行环境检查，然后通过加密通信通道从命令与控制服务器下载第二阶段的负载，以避开网络检测系统。

第二阶段的负载使用 PowerShell 命令来实现持久化：

$startup = “$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup”

Copy-Item “$env:TEMP\loader.js” -Destination “$startup\SystemHealth.js”

New-ItemProperty -Path “HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” -Name “SystemHealth” -Value “wscript.exe $startup\SystemHealth.js”

这创建了多个持久化点，确保恶意软件随系统一起重启。

最后阶段会传输完整的 SectopRAT 负载，该负载会与攻击者的服务器建立连接，并开始监控用户活动、记录击键信息，以及窃取包括存储的凭据、财务信息和加密货币钱包文件等有价值的数据。