该攻击活动被发现分发多种恶意软件，例如Agent Tesla、CryptBot、Formbook、Lumma Stealer、Vidar Stealer、Remcos RAT、Quasar RAT、DCRat和XWorm。

恶意活动的目标包括石油天然气、进出口等工商业领域中财务、采购、供应链和行政部门的员工。诱饵文件使用阿拉伯语、西班牙语、葡萄牙语、波斯语和英语编写，表明攻击可能局限于特定区域。

攻击的关键在于将恶意版本的DLL文件与存在漏洞的可执行文件置于同一目录。利用搜索顺序劫持漏洞，系统会执行恶意DLL而非合法文件，从而使威胁攻击者获得代码执行能力。此次攻击活动中使用的"ahost.exe"可执行文件由GitKraken签发，通常作为GitKraken桌面应用程序的一部分分发。

对VirusTotal上相关样本的分析显示，该恶意软件以数十个文件名进行传播，包括但不限于："RFQ_NO_04958_LG2049 pdf.exe"、"PO-069709-MQ02959-Order-S103509.exe"、"23RDJANUARY OVERDUE.INV.PDF.exe"、"sales contract po-00423-025_pdf.exe"以及"Fatura da DHL.exe"。这表明攻击者使用发票和报价请求（RFQ）等主题诱骗用户打开文件。

此消息披露之际，Trellix也报告了利用浏览器套浏览器（BitB）技术的Facebook钓鱼骗局激增。该技术通过模拟Facebook认证界面，欺骗不知情用户输入凭证。攻击者使用iframe元素在受害者合法的浏览器窗口内创建虚假弹窗，使得用户几乎无法区分真实与伪造的登录页面。

研究员Mark Joseph Marti表示："攻击通常始于网络钓鱼邮件，这些邮件可能伪装成律师事务所的通信。邮件通常包含关于侵权视频的虚假法律通知，并内含伪装成Facebook登录链接的超链接。"

一旦受害者点击短链接，他们将被重定向至伪造的Meta验证码提示页面，该页面指示受害者登录其Facebook账户。这随即会触发一个采用BitB方法的弹窗，显示用于窃取凭证的虚假登录界面。

该社会工程活动的其他变种利用声称版权侵权、异常登录警报、因可疑活动导致账户即将关闭或潜在安全漏洞的网络钓鱼邮件。这些信息旨在制造虚假的紧迫感，诱导受害者访问托管在Netlify或Vercel上的页面以窃取其凭证。有证据表明此类钓鱼攻击可能自2025年7月起持续进行。

Trellix指出："通过在受害者浏览器内创建定制化的虚假登录弹窗，此方法利用了用户对认证流程的熟悉度，使得凭据窃取在视觉上几乎无法被察觉。关键转变在于对受信任基础设施的滥用：利用Netlify、Vercel等合法云托管服务以及URL缩短器来绕过传统安全过滤器，并为钓鱼页面营造虚假的安全感。"

与此同时，研究人员还发现了一个多阶段钓鱼活动，该活动利用Python有效载荷和TryCloudflare隧道，通过指向包含互联网快捷方式（URL）文件的ZIP压缩包的Dropbox链接来分发AsyncRAT。该活动的详细信息由Forcepoint X-Labs于2025年2月首次记录。

此次攻击的一个突出特点是滥用了"无文件攻击"（LotL）技术，该技术利用Windows脚本宿主、PowerShell和原生工具，以及Cloudflare的免费层基础设施来托管WebDAV服务器并规避检测。

部署在TryCloudflare域上的脚本经过精心设计，用于安装Python环境、通过Windows启动文件夹脚本建立持久性，并将AsyncRAT shellcode注入"explorer.exe"进程。同时，攻击者会向受害者显示诱饵PDF文件作为干扰机制，误导其认为访问的是合法文档。

趋势科技表示："本报告分析的AsyncRAT活动表明，威胁攻击者在滥用合法服务和开源工具以规避检测并建立持久远程访问方面日益成熟。通过使用基于Python的脚本并滥用Cloudflare免费层基础设施托管恶意有效载荷，攻击者成功将其活动隐藏在受信任域名下，绕过了传统安全控制。"

觉得这篇文章有趣吗？请关注我们的Google News、Twitter和LinkedIn，阅读我们发布的更多独家内容。

网络安全研究人员披露了一项名为SHADOW#REACTOR的新活动细节，该活动采用规避性多阶段攻击链，投递一款名为Remcos RAT的商业远程管理工具，并建立持久、隐蔽的远程访问。

"这些片段被重构成编码的加载器，由受.NET Reactor保护的组件在内存中解码，并用于获取和应用远程Remcos配置。最终阶段利用MSBuild.exe作为无文件落地二进制（LOLBin）完成执行，此后Remcos RAT后门完全部署并控制受入侵系统。"

该活动被评估为广泛且机会主义，主要针对企业及中小型商业环境。其工具和技术手法与典型的初始访问经纪人相符——这些人获取目标环境的立足点后，将其转售给其他攻击者以牟利。但尚无证据表明其与已知威胁组织有关联。

本次活动最不寻常之处在于依赖纯文本中间阶段加载器，结合使用PowerShell进行内存重构以及受.NET Reactor保护的反加载器，以解包后续攻击阶段，旨在增加检测与分析难度。

感染流程始于检索并执行混淆的Visual Basic脚本（"win64.vbs"），该脚本很可能通过用户交互（例如点击社会工程诱饵中的链接）触发。该脚本通过"wscript.exe"运行，充当Base64编码PowerShell载荷的轻量级启动器。

随后，PowerShell脚本使用System.Net.WebClient与获取VBS文件的同一服务器通信，并在机器的%TEMP%目录中投放名为"qpwoe64.txt"的文本载荷（32位系统则为"qpwoe32.txt"）。

"该机制确保不完整或损坏的载荷片段不会立即中断执行，强化了活动的自我修复设计。"

若文本文件符合相关条件，则会在%TEMP%目录中构建第二个次级PowerShell脚本（"jdywa.ps1"），该脚本调用.NET Reactor加载器来建立持久性、检索下一阶段恶意软件，并加入多种反调试和反虚拟机检查以规避检测。

加载器最终通过合法的Microsoft Windows进程"MSBuild.exe"在受入侵主机上启动Remcos RAT恶意软件。攻击过程中还会投放执行包装脚本，用于通过"wscript.exe"重新触发"win64.vbs"的执行。

研究人员指出："这些行为共同表明，该活动采用积极维护的模块化加载器框架，旨在保持Remcos载荷的可移植性、恢复能力和静态分类难度。纯文本中间件、内存.NET Reactor加载器与LOLBin滥用的结合，反映出其有意对抗杀毒软件特征码、沙箱分析和快速分析师分诊的策略。"

觉得这篇文章有趣？请通过Google News、Twitter和LinkedIn关注我们，阅读更多独家内容。