详细内容或原文请订阅后点击阅览

Google 表单上的“工作简介”可能会感染您的设备

2026年3月20日 11:38 33 Comments
X Twitter Instagram Mail

Google 表单上的虚假工作机会正在传播 PureHVNC 恶意软件,这些恶意软件可以接管您的设备。

来源:Malwarebytes Labs 博客

我们发现了一项利用与业务相关的诱惑(例如工作面试、项目简介和财务文档)来传播恶意软件的活动,其中包括 PureHVNC 远程访问木马 (RAT)。

恶意软件不是新的,而是攻击是如何开始的。

攻击者使用 Google Forms 来启动感染链,而不是通常的网络钓鱼电子邮件或虚假下载页面。攻击通常在受害者下载从 Google 表单链接的商业主题 ZIP 文件时开始。里面是一个恶意文件,它会引发多阶段感染过程,最终在系统上安装恶意软件。

什么是 PureHVNC?

PureHVNC 是来自“纯”恶意软件系列的模块化 .NET RAT。简而言之,它使攻击者能够远程控制受感染的设备并窃取敏感信息。

安装后,它可以:

  • 控制系统并远程运行命令。
  • 收集有关设备的信息,包括操作系统、硬件、安全软件以及有关用户和连接设备的信息。
  • 从浏览器、扩展程序和加密钱包中窃取数据。
  • 从 Telegram 和 Foxmail 等应用程序中提取数据。
  • 安装附加插件。
  • 通过多种方式实现持久性(例如,通过计划任务)。

    • 不同的诱饵,相同的目标:危害您的设备

    在我们的研究中,我们发现多个 Google 表单托管指向启动感染链的恶意 ZIP 文件的链接。这些形式令人信服,模仿真实的公司名称、徽标和链接。 LinkedIn 是用于发送这些恶意表单链接的平台之一。

    这些表格通常要求提供专业信息(经验、背景等),使它们感觉像是真正的招聘或业务流程的一部分。

    表单链接到托管在以下位置的 ZIP 文件:

  • 文件共享服务,例如 Dropbox、filedn.com 和 fshare.vn
  • URL 缩短器,例如 tr.ee 和 goo.su
  • 掩盖最终目的地的 Google 重定向链接
  • {公司名称}_GlobalLogistics_Ad_Strategy.zip
  • Project_Information_Summary_2026.zip
  • C2:207.148.66.14

    • IP

    网址

    ZIP 工作面 文件共享 文件 数据 定向 恶意软件 攻击者 信息 操作系统 设备的 连接设备 应用程序 持久性 不同的 相同的 RAT 链接 PureHVNC 通常的 模块化 位置的 远程控制 目的地 感染 下载 开始的 真正的 电子邮件 系列的 真实的 例如 相关的 业务流程 恶意 表单 Google 控制系统 有关 感染的