背景圖片來源/A Chosen Soul on Unsplash
美國資安業者Netskope旗下威脅實驗室上周警告,中國駭客組織Silver Fox正利用釣魚網站攻擊說中文的使用者,偽裝成AI模型DeepSeek、金山軟件所開發的辦公室套裝軟體WPS Office,以及搜狗輸入法的安裝程式,並於安裝過程中側載Sainbox RAT遠端存取木馬,同時植入Rootkit以隱藏惡意行為。
駭客使用了以假亂真,甚至是比官網還要像真的的網址來誤導使用者,例如DeepSeek AI的官網是deepseekcoder.com或GitHub的開源頁面,但駭客使用的是deepseek[.]org;又或者WPS Office的官網是wps.com或wps.cn,但駭客使用了wpsice[.]com;搜狗輸入法的官網為sogou.com,駭客使用的是sogoucom[.]org。
當使用者透過網釣網站下載安裝檔時,駭客採用了Windows安裝格式MSI,但實際的檔案下載來源與所顯示的並不一致,且該MSI內含多個檔案,包括真正的軟體安裝程式、可觸發側載機制的Shine.exe、 惡意的DLL與惡意的Shellcode。
圖片來源/Netskope
駭客於使用者系統上植入遠端木馬程式Sainbox RAT,這是開源木馬Gh0stRAT的變種,將允許駭客取得系統的完整控制權,以下載或執行其它有效載酬,或是擷取螢幕畫面、記錄鍵盤或竊取檔案。駭客也利用另一個開源的Hidden專案的Rootkit變種,以隱藏系統中的惡意活動,包括隱藏特定程序、檔案與登錄檔等,以避免被偵測。
惡意程式會將自己寫入Windows系統的自動啟動清單中,偽裝成名為Management的系統管理程式,使得每次電腦重開機時,惡意程式就會自動執行,重新載入Sainbox RAT和Hidden Rootkit等所有惡意元件,因此,光是單純地重開機並無法清除此一威脅。
各種網釣案例層出不窮,使用者在下載各種常用或熱門工具時,最好再三確認所造訪的網站是官方且合法的。
熱門新聞
2025-07-08
2025-07-07
2025-07-07
2025-07-09
2025-07-07
2025-07-08
2025-07-07