安全分析师指出,这次攻击活动在2025年12月期间,成功入侵了超过27万台服务器。恶意软件的核心目标依然是秘密窃取高敏感信息,涵盖了浏览器用户数据、实时键盘记录以及剪切板内容。
臭名昭著的黑猫犯罪组织近期再度活跃起来,他们利用高级搜索引擎优化技术,分发伪造的流行开源软件版本。该组织通过操纵搜索算法,成功将精心设计的钓鱼页面(例如伪造的Notepad++下载页面)推送到用户搜索的关键词结果顶部。
这种策略布局无情的利用了用户对熟悉平台的信任,诱使受害者下载捆绑了远程控制后门的恶意安装程序。这些后门能够窃取主机上的敏感数据。当用户访问这些欺诈域名时,会看到一个高度仿真的软件仓库界面,通常还配有大量教程文章以人为地提升其可信度。
钓鱼页面
整个欺骗性下载过程包含多次重定向,最终将用户引导至模仿GitHub风格的虚假页面。这种层层伪装的合法性设计,旨在有效降低受害者的警惕性,最终让受感染的软件被成功地投递到主机系统中。
据安全团队分析,该团伙的攻击活动在当月成功入侵了超过27万台服务器。恶意软件的主要目标仍是窃取各类高价值敏感信息,具体包括浏览器用户数据、实时键盘输入记录,以及用户剪切板中的内容。这种大规模数据窃取行为,无论对个人用户还是大型组织机构,都构成了严重且迫在眉睫的安全威胁。
感染与执行机制
这款恶意软件的感染过程技术相当复杂。首次执行时,安装程序会在受害者的桌面上创建一个欺骗性的快捷方式,该快捷方式直接指向后门入口,而非实际应用程序。恶意软件巧妙地采用了白加黑执行策略,利用良性的可执行文件来加载恶意的DLL组件。
此DLL专门负责定位并解密一个名为M9OLUM4P.1CCE的隐藏加密文件。恶意DLL文件在解密后,会执行这个加密的负载。
成功解密后,恶意的PE文件会通过进程反射注入技术,直接加载到系统内存中执行。这种技术有助于绕过基于磁盘文件检测的安全机制。为确保持久性,恶意软件会创建特定的注册表启动项,并立即与硬编码地址为 sbido.com:2869 的命令控制服务器建立通信连接。这种持久连接便于持续地向攻击者传输窃取的数据,而攻击者则会频繁更换连接的命令服务器IP,以避开基于网络的静态拦截措施。
