游戏玩家注意!AT&T检测到一种隐蔽的远程访问木马
2023-6-12 18:0:17 Author: 看雪学苑(查看原文) 阅读量:10 收藏

近期,一种名为“SeroXen”的隐蔽远程访问木马(RAT)因其低检测率和强大的功能而受到黑客的青睐。据AT&T(美国电信巨头)报告,该恶意软件以Windows 10及11的合法远程访问工具的名义售卖,每月订阅费30美元或单次支付60美元购买终身许可证。

虽然它表面上营销为合法程序,但Flare Systems的网络情报平台显示,SeroXen在黑客论坛上实际宣传为远程访问木马,声称能够在不被发现的情况下访问计算机。该远程访问程序的低成本及易获取性使其很容易被滥用,AT&T自SeroXen面世以来已经观察到数百个样本,并且最近活动有所增加。SeroXen主要通过流行游戏如《堡垒之夜》和《使命召唤:战区》等的作弊方式传播,目前大多数受害者都是游戏社区的成员。但随着该工具的普及,攻击范围扩大到大型公司和组织可能只是时间问题。

AT&T在分析后发现,SeroXen的开发基于各种开源项目,包括Quasar RAT、r77-rootkit和NirCmd命令行工具。Quasar RAT是一个免费发布在GitHub上的开源远程管理工具,最初发布于2014年。它的最新版本1.41具有反向代理、远程Shell、远程桌面、TLS通信和文件管理系统。r77-rootkit是一个开源rootkit,主要功能为无文件持久性、子进程挂钩、恶意软件嵌入、内存进程注入和免杀等。NirCmd则是一个免费的实用程序,可以从命令行执行简单的Windows系统和外围设备管理任务。

AT&T在报告中评论道:“SeroXen的开发者找到了一种强大的组合,利用免费资源开发了一种难以在静态和动态分析中检测到的RAT。

根据AT&T的分析,黑客通常是通过钓鱼邮件或Discord频道推送SeroXen进行攻击,分发的是包含严重混淆的批处理文件的ZIP存档。一旦受害者启动远程访问恶意软件,它就会与C&C服务器建立通信,并等待攻击者发出的命令。

该RAT非常难以检测,SeroXen唯一创建的文件是msconfig.exe,但是这个文件会被放在一个看起来合法的文件夹中,在注入到正在运行的进程后运行恶意软件并删除自身。由于该恶意软件是无文件的且仅在内存中执行,可能会导致一些杀毒软件无法检测到它。除此之外,它还具有一些其他功能,例如能够识别虚拟化环境,一旦它检测到自己是在虚拟机或其他沙箱中运行,就将中止执行,从而延迟威胁分析。

鉴于其造成的影响在将来很可能会扩大,AT&T的Alien Labs团队表示其将继续监控SeroXen样本和基础设施的威胁态势。报告链接:https://cybersecurity.att.com/blogs/labs-research/seroxen-rat-for-sale

编辑:左右里
资讯来源:AT&T
转载请注明出处和本文链接
每日涨知识

免杀

通过加壳、加密、修改特征码、加花指令等等技术来修改程序,使其逃过杀毒软件的查杀。



球分享

球点赞

球在看

“阅读原文一起来充电吧!

文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458506783&idx=2&sn=c91aaa2b153e77686c45eb86c02a0833&chksm=b18ee69586f96f839b4db66c38d839d476ed8e3febf2dcb4656ae210a5ce50af0596aabb02f7#rd
如有侵权请联系:admin#unsafe.sh