快科技 7 月 15 日消息,网络安全研究人员发现一种新型 Rust 远程访问木马 LabubaRAT,伪装成 NVIDIA 软件来控制 Windows 主机。
该恶意软件的入口是一个名为 "nvidia-sysruntime.exe" 的可执行文件,冒充 NVIDIA 的容器运行时工具包,普通用户很难分辨。
LabubaRAT 的特点是配置化设计,不硬编码命令控制服务器信息,启动时通过命令行参数接收配置,攻击者可以定义服务器地址、轮询间隔等参数,同一个二进制文件可以复用于不同目标。
配置信息存储在本地 SQLite 数据库中,随后进行环境探测,收集主机信息,包括浏览器列表、安全软件列表、主机名、内存大小、CPU 型号、Windows UAC 状态等。
支持的攻击功能包括命令执行、PowerShell 执行、JavaScript 执行、截图、文件上传下载、压缩包处理、SOCKS5 代理等。
通信方式支持 HTTPS、WebView2 和 DNS 隧道,即使一个通道被检测关闭,攻击者仍能维持访问。
研究人员指出,LabubaRAT 有恶意软件即服务(MaaS)的迹象,采用框架化设计,可以批量部署和运营。
你怎么看?

【本文结束】如需转载请务必注明出处:快科技
责任编辑:知微


登录后才可以发布评论哦
打开小程序可以发布评论哦