近日,网络安全公司披露,一种名为 Phorpiex 的老旧恶意脚本再度现身,并被用于传播新版 LockBit 勒索木马。此次攻击方式高度自动化,受感染设备在运行恶意脚本后,会自动下载并执行 LockBit 3.0,全程无需黑客远程干预。
根据披露信息,Phorpiex 通过钓鱼邮件进行传播,邮件附件中包含一个 ZIP 压缩包,其中隐藏了恶意脚本。一旦用户双击压缩包中的 .SCR 文件,脚本即被激活。该脚本随后会连接攻击者控制的服务器,下载名为 lbbb.exe 的勒索程序。
为提高隐蔽性,脚本在运行前会先清除系统中的 URL 缓存记录,以防止因缓存问题导致下载失败。整个加载过程采用加密字符串与动态函数解析技术,仅在执行阶段才解密关键内容并加载系统组件。所有下载文件均存放于系统临时目录,并使用随机生成的文件名,以此绕过安全软件的特征识别机制。完成部署后,脚本还会主动删除自身及相关痕迹,消除追踪线索。
Phorpiex 脚本最早出现在 2010 年,长期以来活跃于各类网络攻击活动中。早期主要用于在受控设备上进行加密货币挖矿,近年来则逐渐转变为多类恶意软件的传播工具,具备较强的自动化传播与隐蔽能力。
与此同时,LockBit 勒索组织自 2019 年出现以来,以“勒索即服务”的模式在全球范围内发动大规模攻击。尽管该组织在去年初遭遇多个国家执法机构联合打击,但仍有部分成员持续活动。此次借助 Phorpiex 脚本传播新版勒索木马,显示出其仍在试图恢复攻击能力,重新活跃于网络犯罪领域。
本文属于原创文章,如若转载,请注明来源:Phorpiex脚本复活传播LockBit勒索木马https://news.zol.com.cn/980/9805229.html
