技术文章

近期，火绒工程师在日常关注安全动态时发现，以仿冒软件的方式传播病毒依旧是一个常见的手段。被仿冒的软件包含各大主流软件，包括 WPS、搜狗浏览器、Chrome 浏览器等。这些仿冒软件中被封装了不同的恶意程序，其中病毒的后门种类主要集中在 Gh0st 家族系列和银狐后门 WinOS。某些样本还会通过特殊注入手段将恶意代码注入系统，或利用易受攻击的驱动关闭安全软件的进程，从而逃过安全软件的监测。目前，火绒安全产品可对上述木马进行拦截查杀，建议广大用户及时更新病毒库以提高防御能力。

当黑产开发者以为在共享“行业秘笈”时，殊不知已经掉入了黑客布置的陷阱——看似方便的后门远程控制源码和游戏作弊外挂源码等“圈内资源”，实则是植入了恶意代码的投毒诱饵。黑客抓住相关开发者对开源代码的信任，用“魔法”（伪造的开源项目）打败“魔法”（黑灰产项目），上演了一场黑产生态中的荒诞戏码。

近期，火绒工程师在日常监测安全动态时发现一起利用AI编程工具政策漏洞实施攻击的安全事件。事件起因于AI编程工具Cursor推出的“学生教育一年免费计划”，该计划明确将中国大陆地区用户排除在外，其前端地域校验机制又曾存在技术漏洞，因此这一情况迅速被不法分子所利用，在GitHub等平台上涌现了大量所谓的“Cursor教育认证绕过工具”。值得警惕的是，其中部分传播的工具表面上声称可以帮助用户绕过地域限制，从而获取教育优惠，但实际上却暗藏恶意代码，目前已形成一套完整的攻击链条。

近期，火绒安全论坛收到大量用户反馈，知名软件《壁纸引擎（Wallpaper Engine）》的创意工坊中出现了大量携带Steam盗号病毒的“黄油”。这些“黄油”一旦被订阅或使用，其携带的恶意代码会在后台悄悄运行，窃取用户的Steam账号信息，进而导致用户账号被盗、虚拟资产被转移等。建议广大用户在使用《壁纸引擎》时提高警惕，切勿随意下载来路不明的创意工坊作品。目前，火绒安全产品可对上述病毒进行拦截查杀，建议广大用户及时更新病毒库以提高防御能力。

近期，火绒安全情报中心监测到一款伪装成Clash（代理工具）的程序正在网络上传播。该程序的官方网站通过模仿Clash的下载页面，诱骗用户下载恶意软件。在安装过程中，该恶意软件会进行C2通信并植入持久化后门，进一步窃取敏感信息。经溯源分析，这款恶意软件是由易语言编写的木马，其存在相关开发者提供私人定制易语言服务，为他人的黑灰产活动提供支持。在此提醒广大用户，一定要从官方或可信渠道下载软件，以免因使用不明来源的程序而导致账号被盗或数据泄露。目前，火绒安全产品可对上述病毒进行拦截查杀，建议广大用户及时更新病毒库以提高防御能力。

近期，火绒安全情报中心监测到一款伪装成具备SMS短信验证码接收服务的程序。该程序通过部署持久化后门（即僵尸网络节点）窃取敏感信息。火绒安全提醒广大用户务必从官方或可信渠道下载软件，避免因使用来路不明的程序而导致账号被盗或数据泄露。目前，火绒安全产品已能够对该窃密木马进行有效拦截和查杀，建议广大用户及时更新病毒库，以防范潜在安全风险。

近期，火绒工程师在日常监测安全动态时发现，Rhadamanthys 窃密木马家族包含多种模块。这些模块采用自定义的 PE 结构，与正常的 PE 结构相似，因此需要手动构造 PE 文件进行分析。进一步分析表明，该样本会通过天堂之门注入到伪造父进程创建的傀儡进程中，随后进行杀软检测和反沙箱操作，且整个处理过程均在内存中完成，无文件落地。最终，该木马会下载窃密模块，窃密模块会窃取 Steam 登录验证文件和 Chrome 浏览器数据库文件。此外，它还会利用 Lua 脚本和 C# 动态库窃取加密货币钱包及密码管理软件中的秘钥等敏感数据。目前，火绒安全产品已能够对该窃密木马进行有效拦截和查杀，建议广大用户及时更新病毒库，以防范潜在安全风险。

近期，火绒安全情报中心监测到一场正在针对运维人员开展的钓鱼攻击活动。火绒情报信息显示，此次钓鱼活动来自APT组织的Winnti团伙，该团伙自2009年起活跃至今，最初主要针对游戏行业发动攻击，其通过部署带有有效数字证书签名的恶意软件，窃取游戏社区的虚拟货币及源代码等敏感信息。此次钓鱼攻击通过伪造运维人员常用的SSH连接工具——FinalShell软件的官网，分发远程控制木马（Gh0st）的恶意样本。此类攻击通常以软件更新、破解版或绿色版软件为诱饵，诱导用户下载并执行恶意程序，进而实现窃取敏感信息、持久化控制、横向渗透等恶意行为。目前，火绒安全产品可对上述病毒进行拦截查杀，建议广大用户及时更新病毒库以提高防御能力。

今日，火绒收到反馈，浙江地区多家医院外网电脑遭受远控木马攻击，多人遭受不同程度的财产损失。该事件引起火绒团队高度重视，立即组织专项小组展开调查。经了解，该木马病毒通过钉钉、浙政钉、微信等即时聊天工具，以具有欺骗性文件名的钓鱼文件形式进行传播。一旦用户点击不明文件或扫描钓鱼二维码，电脑或手机就会被远程控制。并且不法分子还会利用受控设备建群，进行多次传播。火绒安全提醒广大用户：切勿轻信不明来源文件及信息，及时安装安全软件并定期进行查杀。

近期火绒收到用户反馈，称其在某平台购买产品后，官方提供的驱动安装包被火绒检测为感染型病毒。火绒安全工程师对此样本进行分析后，确认其中含有恶意代码，被Synares病毒所感染导致报毒。该种病毒为多年前的病毒，具有感染、传播、后门、发送邮件等功能，虽然其远控服务器与邮件账号早已不再响应或有效，但还是具有一定的危险性，能够对用户产生干扰。火绒安全产品可对上述病毒进行拦截查杀并能够将被感染的程序恢复为正常的原程序。

游戏MOD（即游戏修改器）是一种能够对游戏进行修改或增强的程序，因其能够提升游戏体验，在玩家群体中拥有一定的市场。然而，这类程序大多由第三方开发者制作，容易缺乏完善的安全保障机制，这就为不法分子提供了可乘之机，使得游戏MOD逐渐成为被盗号程序利用的对象。

近年来，随着Rust语言在系统编程领域的广泛应用，基于该语言开发的恶意软件样本也随之显著增长，其特有的技术特性正逐渐成为网络犯罪分子的新选择。目前，火绒在检测Rust样本过程中，已捕获数十万相关样本，且样本种类繁多。其中，排名前几位的样本类型主要集中在恶意软件、漏洞利用工具、黑客工具和后门程序。通过对这些样本进行深入分析，我们发现大多数恶意软件样本利用了Rust的内存特性来加载恶意代码，并借助后端LLVM Pass进行二次混淆，使得调试分析变得更加困难。