網絡安全公司 CYFIRMA 的研究人員發現了一種新的高度複雜的惡意軟件,稱為 Neptune RAT,它正在 GitHub、Telegram 和 YouTube 等社交平台上迅速傳播,對全球 Windows 用戶(包括個人和組織)構成重大威脅。
這種遠程訪問木馬(RAT)也被稱為“最先進的RAT”,配備了一系列惡意功能,包括加密剪輯器、密碼抓取器、系統破壞、勒索軟件部署、實時桌面監控以及禁用防病毒軟件的能力等,使其成為極其嚴重的威脅。
傳播途徑及感染方式
據 CYFIRMA 稱,Neptune RAT(用 Visual Basic .NET 編寫)的創建者已在社交平台上免費提供該軟件的最新版本,無需源代碼。開發人員故意混淆可執行文件以阻礙分析。
儘管開發人員將其作為免費版本提供,並聲稱其用於“教育和道德目的”,但他們暗示在付費牆後面提供更高級的付費版本,考慮到其分發方式和可能的濫用,引發了重大的安全問題。
Neptune RAT 有能力產生直接命令(使用 irm 和 iex),實現無縫交付和執行。它使用 GitHub 等平台和 catbox.moe 等 API 來託管惡意腳本和文件。此外,集成阿拉伯字符和表情符號來替換原始字符串,使得分析變得更加困難。
惡意軟件功能
Neptune RAT 擁有幾個危險的特徵,例如:
憑證盜竊:它能夠從 270 多個應用程序中提取憑據或登錄詳細信息,包括網絡瀏覽器、社交媒體和金融平台。
加密貨幣剪裁:它監視剪貼板活動以檢測加密貨幣錢包地址,並將其替換為攻擊者控制的地址,從而在受害者不知情的情況下重定向資金。
勒索軟件部署:一旦激活,Neptune RAT 就會加密受害者係統上的文件,並要求贖金才能釋放這些文件,從而有效地劫持數據。
系統破壞:它包含的功能甚至可能會損壞主引導記錄等系統組件,導致受感染的設備無法運行。
規避技巧:它採用虛擬機(VM)檢測等反分析方法,並通過註冊表修改和任務計劃程序建立多種持久性方法,以確保其能夠保持對受感染系統的長期控制。
防護措施
為了防範來自 Neptune RAT 的任何潛在威脅,個人和組織都可以採取保護措施,例如避免下載軟件或點擊來自不受信任來源的鏈接,尤其是在 GitHub、Telegram 和 YouTube 等平台上;
確保定期更新 Windows 和所有已安裝的應用程序以修補已知漏洞;利用信譽良好的防病毒和反惡意軟件軟件來檢測和阻止高級威脅。
定期備份關鍵數據,確保遭受攻擊時能夠恢復;隨時了解新出現的威脅並養成安全的瀏覽和下載習慣。
有關 Neptune RAT 的更多信息,您可以查看 CYFIRMA 的網站這裡。
