观察到一个威胁行为者在地下论坛上宣传一款新的远程访问木马(RAT),并将其标榜为合法远程访问工具ScreenConnect的完全不可检测(FUD)替代方案。
这款恶意软件附带一系列旨在绕过现代安全防御的高级功能进行销售,这标志着精密且即开即用的网络犯罪工具的趋势日益增长。
卖家声称该工具在静态和运行时分析中均能实现零检测,这使其成为初始访问和有效载荷交付操作中的一大潜在威胁。
这一进展凸显了恶意行为者通过模仿合法软件和流程来利用信任并逃避检测的持续企图。
利用高级规避技术绕过安全防护
这款新型远程访问工具(RAT)的主要卖点在于它能够绕过谷歌浏览器和Windows智能屏幕的安全警告。
该威胁行为者声称,这是通过将恶意软件与有效的扩展验证(EV)证书捆绑在一起来实现的。
EV证书是一种高可信度的数字身份标准,通常会使浏览器显示绿色栏或公司名称,给受害者带来虚假的安全感。
该软件包还包含反机器人机制和伪装的着陆页。这些功能使恶意软件能够向安全扫描器和沙箱展示良性内容,同时向真正的目标交付恶意有效载荷,这是一种逃避自动化分析的常见策略。
所提供的广告展示了一个看似可信却实为欺诈的Adobe Acrobat Reader下载页面,这体现了一种典型的社会工程学传播手段。
根据卖家的帖子,该远程访问工具配备了远程查看器,使攻击者能够直接视觉控制被入侵机器的桌面。
这种功能支持实时监控、数据窃取和交互式系统操控。此外,该工具利用基于PowerShell的命令来加载其可执行文件。这种无文件技术使其能够避开传统的杀毒软件,因为这些软件主要侧重于扫描磁盘上的文件。
这名演员明确表示,该工具可用作“FUD加载器”,这表明其主要功能可能是在部署勒索软件、间谍软件或银行木马等次级有效载荷之前,在目标系统上建立持久且隐秘的立足点。
卖家提供演示,并承诺在24个工作小时内发货,这体现了其专业且标准化的服务。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
