详细内容或原文请订阅后点击阅览
微软警告通过木马游戏实用程序传播 RAT
攻击者传播木马游戏工具,使用 PowerShell、LOLBins 和 Defender 规避策略提供隐秘的 RAT。威胁行为者诱骗用户运行通过浏览器和聊天平台共享的木马游戏实用程序,以部署远程访问木马。 “Microsoft Defender 研究人员发现了一项诱使用户运行木马游戏实用程序(Xeno.exe 或 [...]
来源:Security Affairs _恶意软件微软警告通过木马游戏实用程序传播 RAT
攻击者传播木马游戏工具,使用 PowerShell、LOLBins 和 Defender 规避策略提供隐秘的 RAT。
威胁行为者正在诱骗用户运行通过浏览器和聊天平台共享的木马游戏实用程序,以部署远程访问木马。
“Microsoft Defender 研究人员发现了一项活动,该活动诱使用户运行通过浏览器和聊天平台分发的木马游戏实用程序(Xeno.exe 或 RobloxPlayerBeta.exe),从而导致远程访问木马 (RAT) 的部署。” Microsoft 威胁情报团队编写了 X 版。
恶意下载程序部署了一个可移植的 Java 运行时来运行有害的 JAR 文件,并使用 PowerShell 和 LOLBins(例如 cmstp.exe)进行秘密攻击。它删除了自身,添加了 Microsoft Defender 排除项,并通过计划任务和启动脚本设置持久性。最终的有效负载是一个多用途恶意软件,充当加载程序、下载程序、运行程序和远程访问木马。
“最后,它部署了最终的有效负载,这是一种多用途恶意软件,充当加载程序、运行程序、下载程序和 RAT。”微软总结道。
“RAT 连接到 IP 地址 79.110.49[.]15 以进行命令和控制 (C2),使威胁行为者能够执行各种操作,例如数据盗窃和额外的有效负载部署。”
Microsoft 还发布了此活动的妥协指标 (IoC)。
在 Twitter 上关注我:@securityaffairs 以及 Facebook 和 Mastodon
皮尔路易吉·帕格尼尼
(安全事务 - 黑客、RAT)