安全圈最近又爆出一条消息:Blackpoint Cyber 披露了一款名为 LabubaRAT 的新型木马,伪装成英伟达驱动文件“nvidia-sysruntime.exe”,通过各种渠道诱导用户安装。这玩意儿一旦落地,就能在 Windows 系统里扎下根,建立持久化访问,远程操控能力相当完整。

根据通报细节,LabubaRAT 用 Rust 语言开发,运行后先收集设备环境信息,然后通过 HTTPS、WebView2 和 DNS Tunnel 等多种通信方式,从攻击者的 C2 服务器拉取恶意脚本。选择 Rust 开发挺有意思——跨平台兼容性好,逆向分析难度也更高,显然是下了功夫的。
功能方面,这款木马走得挺全面:远程命令执行、运行 PowerShell 和 Ja vaScript 脚本、截屏、上传下载文件、数据压缩,甚至还能搭建 SOCKS5 袋里(D‑L 模式)。说白了,一旦中招,机器基本上就完全交给黑客了。更值得关注的是,从现有迹象判断,LabubaRAT 未来很可能以“恶意软件即服务(MaaS)”的订阅制模式运营——这要是成真,威胁范围会迅速扩大,毕竟门槛降低后,什么阿猫阿狗都能租来用。
最后提醒一句:英伟达驱动在 AI 开发和企业环境中普及率极高,黑客正是盯上了这一点。用户务必只从官方渠道下载软件包,别图省事随便点开第三方链接。安全无小事,来源对一切就对了。
