研究人员发现一场新型多阶段恶意软件攻击活动,攻击者通过隐藏式网页重定向与混淆代码投递 NetSupport RAT 远控工具。
该攻击分为三个阶段展开,初始阶段是向已攻陷的网站注入JavaScript 加载器。
第一阶段会下载一个隐蔽的 HTA 文件,该文件通过 Windows 合法程序
mshta.exe 执行加密的 PowerShell 命令。最终阶段则会下载并安装远程访问工具(RAT),使攻击者获得对受害者计算机的完全控制权。这条攻击链采用高级规避技术,以躲避安全软件的检测。
Securonix 安全研究人员已确认该攻击活动,并发现其使用多层代码混淆技术—— 包括数字索引映射与旋转数组,用于隐藏恶意代码。
该攻击活动还会检测受害者设备类型,向移动设备与桌面设备投递不同的恶意载荷。研究人员指出,该恶意软件框架处于持续维护状态,并针对 “在受感染系统中隐蔽存活” 进行了优化。
当 JavaScript 加载器在受害者浏览器中运行后,会悄悄构建经过打乱处理的文本旋转数组,并等待网页完全加载。
随后,加载器会检测设备类型:若为移动设备,则创建全屏隐藏的 iframe;若为桌面系统,则加载远程脚本。
此外,加载器还会利用浏览器本地存储记录是否已感染该系统,确保仅执行一次 —— 以此降低被检测的概率。
这种缜密的攻击方式,使得攻击者能够动态生成恶意网页地址,并从其控制的域名(如
stoneandjon.com、boriver.com)获取下一阶段的攻击组件。攻击链与感染机制
第二阶段的攻击载体是一个 HTML 应用程序(HTA)文件,通过
mshta.exe 运行 —— 这是一款常被攻击者滥用的 Windows 合法程序。该 HTA 文件在完全隐蔽的状态下运行,将加密的 PowerShell 脚本写入计算机的临时文件夹。
发表评论
您还未登录,请先登录。
登录