HackerNews 编译,转载请注明出处:
网络安全研究人员发现,仿冒杀毒软件厂商Bitdefender的钓鱼网站正被用于分发VenomRAT远程控制木马及两款恶意工具,形成三重攻击链。该仿冒网站界面高度还原官方下载页面,但用户点击“DOWNLOAD FOR WINDOWS”按钮后,实际下载的是托管在Bitbucket与Amazon S3平台的恶意安装包。
安装包内含名为StoreInstaller.exe的可执行文件,经分析发现其捆绑了VenomRAT、StormKitty和SilentTrinity三个恶意家族的代码模块。DomainTools研究团队指出,攻击者通过模块化组合实现多重渗透:
- VenomRAT:基于开源项目Quasar RAT改造,具备键盘记录、凭证窃取与远程命令执行能力,建立持久控制通道StormKitty:专门窃取加密货币钱包数据及系统登录凭证SilentTrinity:采用隐蔽通信协议实施数据外泄,维持长期潜伏
技术溯源显示,相关恶意样本均配置相同C2服务器(67.217.228[.]160:4449与157.20.182[.]72:4449),且部分样本共享远程桌面协议(RDP)配置参数,证实攻击活动由同一组织操控。攻击者还注册多个仿冒银行与IT服务登录页的钓鱼域名,包括仿造亚美尼亚IDBank的idram-secure[.]live、伪装加拿大皇家银行的royalbanksecure[.]online,以及假冒微软门户的dataops-tracxn[.]com,域名注册时间与基础设施存在关联性。
此次攻击凸显开源恶意工具的低门槛化趋势,攻击者通过组合现有框架快速构建攻击套件。研究人员强调,虽然开源特征有助于防御方识别攻击模式,但也显著提升了攻击效率与规模。建议用户从官方渠道验证下载文件,避免在可疑页面提交敏感信息,并对邮件附件与链接保持警惕。
消息来源: infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
