DeerStealer 恶意软件通过武器化 .LNK 文件传播，利用系统预装工具执行攻击

一项新型高级网络钓鱼活动近期曝光，攻击者通过武器化的 .LNK 快捷方式文件传播 DeerStealer 恶意软件，利用 Windows 系统中的合法预装工具实施“借力攻击”（Living off the Land，LOLBin）技术。

此次攻击中，恶意软件伪装成名为“Report.lnk”的 PDF 文件，背后则隐藏着一个多阶段的复杂攻击链条，核心在于调用 Microsoft 的 HTML 应用程序宿主工具 mshta.exe 来执行恶意代码。

该攻击手法标志着恶意软件传播机制的显著升级，攻击者利用微软自身工具绕过传统安全防御机制。恶意 .LNK 文件会启动精心设计的执行序列，逐步调用多个系统组件，最终部署 DeerStealer 木马。

该策略利用了安全系统对操作系统合法组件的信任，从而显著提升检测难度。

恶意利用系统组件绕过防护

据 LinkedIn 的安全分析师和研究人员指出，该攻击活动采用了极为隐蔽的规避技术，滥用 MITRE ATT&CK 框架中的 T1218.005 技术 —— 即对 mshta.exe 的恶意使用。

研究人员强调，攻击中使用的动态路径解析与混淆命令执行技术，体现出恶意软件技术水平的新高度。

执行链条与感染机制

DeerStealer 的感染流程由以下五个阶段组成：
.lnk → mshta.exe → cmd.exe → PowerShell → DeerStealer

初始的 .LNK 文件会秘密调用 mshta.exe，执行高度混淆的脚本，并采用通配路径绕过基于特征码的检测系统。恶意代码会动态解析 System32 目录下 mshta.exe 的完整路径，并以特定参数启动该工具，接着加载混淆的 Base64 编码字符串。

为了规避取证分析，该脚本会关闭日志记录与行为分析功能，极大降低了可见性。

脚本内部采用复杂的字符解码机制：以十六进制为单位解析字符对，转换为 ASCII 字符，再通过 PowerShell 的 IEX（Invoke-Expression） 命令动态拼接并执行真正的恶意逻辑。

最终载荷与持久化

最终载荷通过解码后的 URL 数组实现动态解析，同时下载一个诱饵 PDF 文件用于分散用户注意力，并将主恶意程序静默安装至 AppData 目录。

PDF 文件将通过 Adobe Acrobat 正常打开，作为烟雾弹吸引用户注意，实际则在后台悄然建立持久化机制。

已知威胁指标（IOCs）

• 恶意域名： tripplefury.com

• 已知样本 SHA256：

  • fd5a2f9eed065c5767d5323b8dd928ef8724ea2edeba3e4c83e211edf9ff0160

  • 8f49254064d534459b7ec60bf4e21f75284fbabfaea511268c478e15f1ed0db9

建议加强对 .lnk 文件的监控，限制 mshta.exe、PowerShell 的使用权限，部署现代化 EDR 系统以检测多阶段攻击行为，以及结合已知 IOC 进行威胁狩猎。