该攻击活动被发现分发多种恶意软件，例如Agent Tesla、CryptBot、Formbook、Lumma Stealer、Vidar Stealer、Remcos RAT、Quasar RAT、DCRat和XWorm。

恶意活动的目标包括石油天然气、进出口等工商业领域中财务、采购、供应链和行政部门的员工。诱饵文件使用阿拉伯语、西班牙语、葡萄牙语、波斯语和英语编写，表明攻击可能局限于特定区域。

攻击的关键在于将恶意版本的DLL文件与存在漏洞的可执行文件置于同一目录。利用搜索顺序劫持漏洞，系统会执行恶意DLL而非合法文件，从而使威胁攻击者获得代码执行能力。此次攻击活动中使用的"ahost.exe"可执行文件由GitKraken签发，通常作为GitKraken桌面应用程序的一部分分发。

对VirusTotal上相关样本的分析显示，该恶意软件以数十个文件名进行传播，包括但不限于："RFQ_NO_04958_LG2049 pdf.exe"、"PO-069709-MQ02959-Order-S103509.exe"、"23RDJANUARY OVERDUE.INV.PDF.exe"、"sales contract po-00423-025_pdf.exe"以及"Fatura da DHL.exe"。这表明攻击者使用发票和报价请求（RFQ）等主题诱骗用户打开文件。

此消息披露之际，Trellix也报告了利用浏览器套浏览器（BitB）技术的Facebook钓鱼骗局激增。该技术通过模拟Facebook认证界面，欺骗不知情用户输入凭证。攻击者使用iframe元素在受害者合法的浏览器窗口内创建虚假弹窗，使得用户几乎无法区分真实与伪造的登录页面。

研究员Mark Joseph Marti表示："攻击通常始于网络钓鱼邮件，这些邮件可能伪装成律师事务所的通信。邮件通常包含关于侵权视频的虚假法律通知，并内含伪装成Facebook登录链接的超链接。"

一旦受害者点击短链接，他们将被重定向至伪造的Meta验证码提示页面，该页面指示受害者登录其Facebook账户。这随即会触发一个采用BitB方法的弹窗，显示用于窃取凭证的虚假登录界面。

该社会工程活动的其他变种利用声称版权侵权、异常登录警报、因可疑活动导致账户即将关闭或潜在安全漏洞的网络钓鱼邮件。这些信息旨在制造虚假的紧迫感，诱导受害者访问托管在Netlify或Vercel上的页面以窃取其凭证。有证据表明此类钓鱼攻击可能自2025年7月起持续进行。

Trellix指出："通过在受害者浏览器内创建定制化的虚假登录弹窗，此方法利用了用户对认证流程的熟悉度，使得凭据窃取在视觉上几乎无法被察觉。关键转变在于对受信任基础设施的滥用：利用Netlify、Vercel等合法云托管服务以及URL缩短器来绕过传统安全过滤器，并为钓鱼页面营造虚假的安全感。"

与此同时，研究人员还发现了一个多阶段钓鱼活动，该活动利用Python有效载荷和TryCloudflare隧道，通过指向包含互联网快捷方式（URL）文件的ZIP压缩包的Dropbox链接来分发AsyncRAT。该活动的详细信息由Forcepoint X-Labs于2025年2月首次记录。

此次攻击的一个突出特点是滥用了"无文件攻击"（LotL）技术，该技术利用Windows脚本宿主、PowerShell和原生工具，以及Cloudflare的免费层基础设施来托管WebDAV服务器并规避检测。

部署在TryCloudflare域上的脚本经过精心设计，用于安装Python环境、通过Windows启动文件夹脚本建立持久性，并将AsyncRAT shellcode注入"explorer.exe"进程。同时，攻击者会向受害者显示诱饵PDF文件作为干扰机制，误导其认为访问的是合法文档。

趋势科技表示："本报告分析的AsyncRAT活动表明，威胁攻击者在滥用合法服务和开源工具以规避检测并建立持久远程访问方面日益成熟。通过使用基于Python的脚本并滥用Cloudflare免费层基础设施托管恶意有效载荷，攻击者成功将其活动隐藏在受信任域名下，绕过了传统安全控制。"

觉得这篇文章有趣吗？请关注我们的Google News、Twitter和LinkedIn，阅读我们发布的更多独家内容。