網(wǎng)絡(luò)安全公司CYFIRMA的研究人員近日發(fā)現(xiàn)新型Neptune RAT（遠(yuǎn)程控制木馬）變種，該惡意軟件針對(duì)Windows設(shè)備進(jìn)行攻擊。這款在GitHub、Telegram和YouTube等平臺(tái)以"最先進(jìn)遠(yuǎn)程控制工具"為噱頭推廣的木馬，正吸引著網(wǎng)絡(luò)犯罪新手和尋求現(xiàn)成工具的老牌黑客。

Neptune RAT木馬簡(jiǎn)介

該木馬采用Visual Basic .NET編寫(xiě)，旨在完全控制受害者的Windows計(jì)算機(jī)。雖然開(kāi)發(fā)者聲稱(chēng)該軟件僅用于"教育及道德測(cè)試目的"，但其實(shí)際功能完全背離這一聲明。

Neptune RAT不僅能竊取用戶(hù)憑證、替換加密貨幣錢(qián)包地址，還具備勒索軟件功能可鎖定文件，使攻擊者獲得對(duì)受感染系統(tǒng)的全面控制權(quán)。

傳播途徑分析

該惡意軟件通過(guò)社交平臺(tái)免費(fèi)分發(fā)。開(kāi)發(fā)者未公開(kāi)源代碼，而是隱藏可執(zhí)行文件增加分析難度。部分惡意代碼甚至使用阿拉伯字符和表情符號(hào)替換字符串，極大增加了研究人員的逆向工程難度。免費(fèi)版本會(huì)自動(dòng)生成PowerShell命令，從catbox.moe等文件托管服務(wù)下載運(yùn)行額外組件。

主要危害功能

Neptune RAT通過(guò)多個(gè)協(xié)同工作的模塊危害Windows系統(tǒng)：

• 憑證竊取與剪貼板劫持：內(nèi)置密碼抓取器可提取應(yīng)用程序及主流瀏覽器的登錄憑證，同時(shí)監(jiān)控剪貼板內(nèi)容，當(dāng)檢測(cè)到加密貨幣錢(qián)包地址時(shí)自動(dòng)替換為攻擊者指定地址。

通過(guò)YouTube傳播的新型Neptune RAT木馬竊取Windows密碼

NeptuneRAT官網(wǎng)截圖（來(lái)源：Hackread.com）

• 勒索軟件與系統(tǒng)破壞：激活后會(huì)將受害者文件擴(kuò)展名改為".ENC"進(jìn)行加密，并釋放包含勒索信息的HTML文件。攻擊者還可破壞主引導(dǎo)記錄等系統(tǒng)組件使設(shè)備完全癱瘓。
• 隱蔽駐留技術(shù)：通過(guò)修改注冊(cè)表鍵值、添加Windows計(jì)劃任務(wù)實(shí)現(xiàn)持久化，并具備虛擬機(jī)檢測(cè)功能，發(fā)現(xiàn)虛擬環(huán)境立即終止運(yùn)行。
• 擴(kuò)展功能模塊：獨(dú)立DLL文件提供額外功能，包括繞過(guò)用戶(hù)賬戶(hù)控制、竊取郵件及瀏覽器數(shù)據(jù)，甚至支持實(shí)時(shí)屏幕監(jiān)控。

NeptuneRAT官網(wǎng)功能列表截圖（來(lái)源：Hackread.com）

防護(hù)建議

由于Neptune RAT采用復(fù)合攻擊策略，個(gè)人與企業(yè)需立即采取防護(hù)措施：僅從可信來(lái)源下載軟件、保持Windows系統(tǒng)及安全工具更新、定期備份重要數(shù)據(jù)。建議部署具備文件變更與網(wǎng)絡(luò)活動(dòng)監(jiān)控功能的殺毒軟件。

專(zhuān)家觀點(diǎn)

馬薩諸塞州Black Duck公司首席安全顧問(wèn)Satish Swargam指出："該木馬使用高級(jí)技術(shù)竊取敏感數(shù)據(jù)，通過(guò)GitHub等平臺(tái)繞過(guò)常規(guī)安全檢測(cè)。其勒索功能會(huì)導(dǎo)致企業(yè)運(yùn)營(yíng)中斷，實(shí)時(shí)屏幕監(jiān)控和錢(qián)包地址替換功能尤其危險(xiǎn)。"

他強(qiáng)調(diào)，隨著該木馬持續(xù)添加新功能（常偽裝成教育軟件傳播），企業(yè)需加強(qiáng)終端防護(hù)、實(shí)施主動(dòng)威脅檢測(cè)并保持持續(xù)監(jiān)控，才能有效降低感染風(fēng)險(xiǎn)。