近期,网络安全领域再次迎来了一则警报,知名安全机构Cybereason揭露了一个老牌恶意脚本Phorpiex的新动向。该脚本如今成为LockBit 3.0勒索木马的传播媒介,对网络安全构成了严重威胁。
Phorpiex脚本通过精心设计的钓鱼邮件进行传播,这些邮件内藏玄机,附带了含有隐蔽脚本的ZIP压缩包。一旦用户不慎双击运行了压缩包中的.SCR文件,一场悄无声息的攻击便悄然展开。脚本随即激活,迅速连接到黑客控制的命令与控制(C2)服务器,并从那里下载名为lbbb.exe的勒索木马。
在下载勒索木马之前,Phorpiex脚本还会先清除受害者设备上的URL缓存记录,以确保后续操作不受本地缓存干扰。这一系列动作高度自动化,无需黑客进行额外的远程操作,大大提升了攻击的效率和隐蔽性。下载的木马文件被巧妙地放置在系统临时文件夹中,并使用随机文件名,以此规避安全软件的特征比对扫描。
Phorpiex脚本自2010年首次亮相以来,便活跃在各种网络攻击场景中。最初,它主要用于在受害者电脑上挖掘数字货币。然而,近年来,该脚本逐渐转变为其他恶意木马的载体,自动化部署各种恶意内容,成为黑客手中的得力助手。
Cybereason指出,Phorpiex之所以受到黑客的青睐,得益于其高度模块化的设计。该脚本具备自我复制、自动运行和自动清理痕迹的特性,使得黑客能够轻松实施自动化攻击。此次,Phorpiex与LockBit 3.0勒索木马的结合,再次证明了其强大的传播能力和威胁性。
LockBit勒索木马/黑客团队自2019年崭露头角以来,便以“勒索即服务”模式对全球多地的基础设施机构进行了无差别攻击。尽管该组织在去年初遭受了多国执法机构的联合打击,但仍有一小部分残余黑客继续活跃。此次,他们借助Phorpiex脚本传播LockBit 3.0,再次展示了其卷土重来的决心和实力。
