HackerNews 编译,转载请注明出处:
网络安全研究人员披露一起新型恶意活动,攻击者利用仿冒Bitdefender的虚假杀毒软件下载网站,诱导用户下载名为VenomRAT的远程访问木马。此次攻击的仿冒网站“bitdefender-download[.]com”宣称提供Windows版杀毒软件下载,用户点击页面显眼的“Download for Windows”按钮后,会触发从Bitbucket仓库重定向至亚马逊S3存储桶的文件下载流程。目前该Bitbucket账户现已被封禁。
下载的ZIP压缩包(BitDefender.zip)包含名为StoreInstaller.exe的可执行文件,经分析发现其整合了VenomRAT木马配置、开源后期利用框架SilentTrinity以及StormKitty信息窃取器。VenomRAT作为Quasar RAT的变种,具备数据收集与持久化远程控制能力。DomainTools情报团队指出,该钓鱼网站基础设施与多个仿冒加拿大皇家银行、微软服务的恶意域名存在关联,这些域名此前已被用于窃取登录凭证的钓鱼活动。
攻击技术链显示,VenomRAT负责建立隐蔽通道,StormKitty窃取密码与数字钱包信息,SilentTrinity则确保攻击者维持控制权。研究人员强调:“该活动采用模块化开源组件构建的恶意软件体系,这种’自组装’策略显著提升了攻击效率与隐蔽性。”
同期曝光的另一起ClickFix式攻击活动中,攻击者伪造谷歌Meet页面,利用虚假的“麦克风权限被拒绝”错误提示诱导用户执行特定PowerShell命令,从而部署名为noanti-vm.bat的混淆批处理脚本实现远程控制。此外,针对Meta的大规模钓鱼活动借助谷歌AppSheet无代码开发平台绕过SPF、DKIM等邮件安全协议,通过动态生成唯一案例ID规避传统检测系统。钓鱼邮件伪装成Facebook支持团队,以24小时内提交申诉为由诱骗用户点击链接,跳转至中间人钓鱼页面窃取双因素认证代码。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
