一种名为 TinyLoader 的隐秘新型恶意软件加载程序已开始在 Windows 环境中扩散,利用网络共享和欺骗性快捷方式文件来危害全球系统。
TinyLoader 于 2025 年 8 月下旬首次被发现,它安装了多个辅助有效载荷(最著名的是 RedLine Stealer 和 DCRat),将受感染的机器转变为完全武器化的平台,用于凭证盗窃、远程访问和加密货币劫持。
分析人士发现,加载程序的部署正在迅速升级,感染可追溯到公司文件共享、可移动媒体以及诱使毫无戒心的用户执行恶意二进制文件的社会工程策略。
虽然恶意软件加载器并不是一个新威胁,但 TinyLoader 却通过积极的横向移动和复杂的持久性机制的组合而脱颖而出。
初始访问通常是通过网络共享实现的:加载程序扫描开放的 SMB 资源,将自身复制为无害的“Update.exe”文件,并更新目录时间戳以避免被发现。
一旦执行,它会立即联系预先定义的命令和控制 (C2) 服务器来下载其他模块。
Hunt.io 的研究人员发现了早期的 C2 基础设施,托管在拉脱维亚里加的 IP 地址 176.46.152.47 和 176.46.152.46 上,并在英国和荷兰设有其他节点,所有节点均由单一托管服务提供商运营,以简化部署。
Hunt.io 分析师指出,TinyLoader 的界面反映了现代恶意软件即服务面板,为威胁行为者提供了一个直观的活动管理网络门户。
检查加载程序的有效载荷检索序列,发现了六个指向恶意二进制文件的硬编码 URL(其中包括 bot.exe 和 zx.exe),这些文件保存到 Windows 临时目录中,无需用户交互即可执行。
这种模块化方法允许攻击者以最少的重新开发工作量轮换有效载荷并转向新工具,例如加密货币剪辑模块或远程访问木马。
感染爆发后,安全团队争先恐后地寻找检测特征。
TinyLoader 的登录面板带有一致的 HTML 标题标签:-
<title>Login - TinyLoader</title>该字符串成为网络爬虫搜索的关键指标,使防御者能够枚举其他 C2 面板并先发制人地阻止它们。
Hunt.io 对可疑 IP 地址 176.46.152.47 的扫描结果说明了触发进一步基础设施映射的初步发现。
感染机制:网络共享传播和虚假快捷方式
TinyLoader 的主要感染媒介利用网络文件共享和社会工程,通过伪造的 Windows 快捷方式。
获得管理权限后,加载程序会将自身注入 Windows 注册表以劫持 .txt 文件关联:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
@="\"%SystemRoot%\\System32\\cmd[.]exe\" /c start \"\" \"C:\\Windows\\System32\\Update.exe\" \"%1\""此修改可确保任何打开文本文件的尝试都会首先静默启动 TinyLoader,然后再显示合法文档。
同时,恶意软件扫描可写的网络共享,复制“Update.exe”和名为“Documents Backup.lnk”的恶意快捷方式文件。
双击这些快捷方式时,它们会执行 TinyLoader,同时伪装成用户友好的备份实用程序。
而上面提到的用于社会工程的虚假桌面快捷方式就体现了这种策略。
该加载程序还针对可移动媒体:每次插入 USB 都会触发 TinyLoader 以“Photo.jpg.exe”等诱人的名称进行复制。
附带的 autorun.inf 文件保证在下一个主机上执行,从而延续感染周期。
这些技术共同创建了一种跨越本地和企业网络的弹性传播机制,使得 TinyLoader 一旦建立就极难根除。
建议防御者监控影响文件关联的注册表更改、部署限制在网络共享上创建可执行文件的策略,并检查快捷方式文件中是否存在异常目标。
通过将基于签名的“登录 – TinyLoader”面板检测与自动运行活动的行为监控相结合,安全团队可以减轻这种新兴威胁的快速蔓延。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
