技术文章

近期，火绒安全实验室收到有关用户电脑网络出现异常的反馈，溯源发现，此异常由 StilachiRAT 后门病毒引发。该病毒通过破坏安全软件的 TCP 连接与添加防火墙过滤规则的方式限制网络通信。此病毒具备利用动态解密获取字符串和函数地址来迟缓逆向分析效率的能力，还会利用 WMI 服务获取系统信息等手段检测虚拟机。其攻击行为包括窃取剪切板、文件或窗口中的密码、虚拟货币钱包地址、存于 Chrome 浏览器中的登录秘钥等数据，还可通过后门实现截屏和执行任意程序等操作。目前，火绒安全产品可对上述窃密木马进行拦截查杀，建议广大用户及时更新病毒库以提高防御能力。

在阅读本篇文章之前，让我们先来深入了解下游戏外挂背后潜藏的多重危害吧——这些看似能在虚拟世界中“捷径通关”的程序，实则是威胁数字安全的隐形杀手，从篡改游戏数据破坏公平竞技环境，到伪装成正规软件窃取用户隐私，再到形成覆盖开发、贩卖、数据盗用等环节的黑色产业链，外挂程序的危害正不断显现，愈发需要我们提高警惕。

微软官方发布了2025年06月的安全更新。本月更新公布了80个漏洞，包含26个远程执行代码漏洞、17个信息泄露漏洞、14个特权提升漏洞、6个拒绝服务漏洞、3个安全功能绕过漏洞、2个身份假冒漏洞，其中11个漏洞级别为“Critical”（高危），57个为“Important”（严重）。建议用户及时使用火绒安全软件(个人/企业)【漏洞修复】功能更新补丁。

近期，火绒工程师在日常关注安全动态时发现，以仿冒软件的方式传播病毒依旧是一个常见的手段。被仿冒的软件包含各大主流软件，包括 WPS、搜狗浏览器、Chrome 浏览器等。这些仿冒软件中被封装了不同的恶意程序，其中病毒的后门种类主要集中在 Gh0st 家族系列和银狐后门 WinOS。某些样本还会通过特殊注入手段将恶意代码注入系统，或利用易受攻击的驱动关闭安全软件的进程，从而逃过安全软件的监测。目前，火绒安全产品可对上述木马进行拦截查杀，建议广大用户及时更新病毒库以提高防御能力。

当黑产开发者以为在共享“行业秘笈”时，殊不知已经掉入了黑客布置的陷阱——看似方便的后门远程控制源码和游戏作弊外挂源码等“圈内资源”，实则是植入了恶意代码的投毒诱饵。黑客抓住相关开发者对开源代码的信任，用“魔法”（伪造的开源项目）打败“魔法”（黑灰产项目），上演了一场黑产生态中的荒诞戏码。

近期，火绒工程师在日常监测安全动态时发现一起利用AI编程工具政策漏洞实施攻击的安全事件。事件起因于AI编程工具Cursor推出的“学生教育一年免费计划”，该计划明确将中国大陆地区用户排除在外，其前端地域校验机制又曾存在技术漏洞，因此这一情况迅速被不法分子所利用，在GitHub等平台上涌现了大量所谓的“Cursor教育认证绕过工具”。值得警惕的是，其中部分传播的工具表面上声称可以帮助用户绕过地域限制，从而获取教育优惠，但实际上却暗藏恶意代码，目前已形成一套完整的攻击链条。

近期，火绒安全论坛收到大量用户反馈，知名软件《壁纸引擎（Wallpaper Engine）》的创意工坊中出现了大量携带Steam盗号病毒的“黄油”。这些“黄油”一旦被订阅或使用，其携带的恶意代码会在后台悄悄运行，窃取用户的Steam账号信息，进而导致用户账号被盗、虚拟资产被转移等。建议广大用户在使用《壁纸引擎》时提高警惕，切勿随意下载来路不明的创意工坊作品。目前，火绒安全产品可对上述病毒进行拦截查杀，建议广大用户及时更新病毒库以提高防御能力。

微软官方发布了2025年05月的安全更新。本月更新公布了268个漏洞，包含29个远程执行代码漏洞、20个特权提升漏洞、16个信息泄露漏洞、7个拒绝服务漏洞、4个身份假冒漏洞、2个安全功能绕过漏洞，其中11个漏洞级别为“Critical”（高危），66个为“Important”（严重）。建议用户及时使用火绒安全软件(个人/企业)【漏洞修复】功能更新补丁。

近期，火绒安全情报中心监测到一款伪装成Clash（代理工具）的程序正在网络上传播。该程序的官方网站通过模仿Clash的下载页面，诱骗用户下载恶意软件。在安装过程中，该恶意软件会进行C2通信并植入持久化后门，进一步窃取敏感信息。经溯源分析，这款恶意软件是由易语言编写的木马，其存在相关开发者提供私人定制易语言服务，为他人的黑灰产活动提供支持。在此提醒广大用户，一定要从官方或可信渠道下载软件，以免因使用不明来源的程序而导致账号被盗或数据泄露。目前，火绒安全产品可对上述病毒进行拦截查杀，建议广大用户及时更新病毒库以提高防御能力。

近期，火绒安全情报中心监测到一款伪装成具备SMS短信验证码接收服务的程序。该程序通过部署持久化后门（即僵尸网络节点）窃取敏感信息。火绒安全提醒广大用户务必从官方或可信渠道下载软件，避免因使用来路不明的程序而导致账号被盗或数据泄露。目前，火绒安全产品已能够对该窃密木马进行有效拦截和查杀，建议广大用户及时更新病毒库，以防范潜在安全风险。

近期，火绒工程师在日常监测安全动态时发现，Rhadamanthys 窃密木马家族包含多种模块。这些模块采用自定义的 PE 结构，与正常的 PE 结构相似，因此需要手动构造 PE 文件进行分析。进一步分析表明，该样本会通过天堂之门注入到伪造父进程创建的傀儡进程中，随后进行杀软检测和反沙箱操作，且整个处理过程均在内存中完成，无文件落地。最终，该木马会下载窃密模块，窃密模块会窃取 Steam 登录验证文件和 Chrome 浏览器数据库文件。此外，它还会利用 Lua 脚本和 C# 动态库窃取加密货币钱包及密码管理软件中的秘钥等敏感数据。目前，火绒安全产品已能够对该窃密木马进行有效拦截和查杀，建议广大用户及时更新病毒库，以防范潜在安全风险。

​微软官方发布了2025年04月的安全更新。本月更新公布了202个漏洞，包含49个特权提升漏洞、33个远程执行代码漏洞、17个信息泄露漏洞、14个拒绝服务漏洞、9个安全功能绕过漏洞、3个身份假冒漏洞，其中11个漏洞级别为“Critical”（高危），112个为“Important”（严重）。建议用户及时使用火绒安全软件（个人/企业）【漏洞修复】功能更新补丁。