一波新的网络攻击正瞄准那些寻找免费软件的用户,把他们的电脑变成不情愿的带宽共享参与者。安恒实验室安全情报中心(ASEC)发布警告称,威胁组织 Larva-25012 正在通过分发伪装成热门文本编辑器 Notepad++ 的恶意软件来实施攻击。
这是一种典型的 “代理劫持(Proxyjacking)” 攻击:攻击者在受害者电脑上悄悄安装软件,盗用其网络带宽来牟利。
该活动主要针对搜索破解版或盗版软件的用户。攻击者将受害者诱骗到 “伪装成提供破解 / 盗版软件下载的虚假网站”。这些网站通常声称自己 “界面友好、资源全面”,提供各种工具的恶意安装包,例如 AutoClicker、SteamCleaner,以及最引人注目的 Notepad++。
当用户下载并运行名为 Setup.zip 的文件时,他们得到的远不止一个文本编辑器。“通过 Setup.zip 分发的版本同时包含 ** 正版 Notepad++ 安装程序(Setup.exe)** 和一个名为 TextShaping.dll 的恶意加载器 DLL。”
恶意软件使用 DLL 侧加载(DLL side‑loading) 技术来躲避检测。当受害者启动正版的 Notepad++ 安装程序时,它会无意中从同一文件夹加载恶意的 TextShaping.dll。
随后,该 DLL 会在内存中解密一个有效载荷,最终安装 DPLoader(一种下载器木马)。“一旦在 Windows 任务计划程序中注册,DPLoader 就会持久化执行,并从其 C&C 服务器获取指令。”
为了保持隐蔽,恶意软件还会主动篡改系统防御。“脚本会修改 Windows Defender 策略,包括添加排除路径、禁用安全通知,并阻止恶意软件样本提交。”
该活动的最终目的不是勒索或窃取数据,而是牟利。攻击者会安装 代理软件(Proxyware),让受害者的网络连接被 “共享” 出去。
“代理劫持指的是在未经同意的情况下,在受害者机器上安装 Proxyware,从而让攻击者通过盗用受害者的网络带宽来赚钱。”
恶意软件会安装已知的代理软件,例如 Infatica 和 DigitalPulse。为了伪装得更逼真,Infatica 代理会被注册为名为 “Microsoft Anti‑Malware Tool” 的计划任务,让普通用户误以为它是一个合法的系统进程。
Larva-25012 还在不断升级攻击手段。ASEC 研究人员指出,攻击者 “正在积极更改技术以躲避检测 —— 例如将 Proxyware 注入 Windows 资源管理器进程,或使用基于 Python 的加载器”。
对用户来说,这是一个明确的提醒:
从不明来源下载软件往往伴随着隐藏的代价 —— 这次,是你的网络带宽。
发表评论
您还未登录,请先登录。
登录