網(wǎng)絡(luò)安全公司CYFIRMA的研究人員近日發(fā)現(xiàn)新型Neptune RAT（遠程控制木馬）變種，該惡意軟件針對Windows設(shè)備進行攻擊。這款在GitHub、Telegram和YouTube等平臺以"最先進遠程控制工具"為噱頭推廣的木馬，正吸引著網(wǎng)絡(luò)犯罪新手和尋求現(xiàn)成工具的老牌黑客。

Neptune RAT木馬簡介

該木馬采用Visual Basic .NET編寫，旨在完全控制受害者的Windows計算機。雖然開發(fā)者聲稱該軟件僅用于"教育及道德測試目的"，但其實際功能完全背離這一聲明。

Neptune RAT不僅能竊取用戶憑證、替換加密貨幣錢包地址，還具備勒索軟件功能可鎖定文件，使攻擊者獲得對受感染系統(tǒng)的全面控制權(quán)。

傳播途徑分析

該惡意軟件通過社交平臺免費分發(fā)。開發(fā)者未公開源代碼，而是隱藏可執(zhí)行文件增加分析難度。部分惡意代碼甚至使用阿拉伯字符和表情符號替換字符串，極大增加了研究人員的逆向工程難度。免費版本會自動生成PowerShell命令，從catbox.moe等文件托管服務(wù)下載運行額外組件。

主要危害功能

Neptune RAT通過多個協(xié)同工作的模塊危害Windows系統(tǒng)：

• 憑證竊取與剪貼板劫持：內(nèi)置密碼抓取器可提取應(yīng)用程序及主流瀏覽器的登錄憑證，同時監(jiān)控剪貼板內(nèi)容，當(dāng)檢測到加密貨幣錢包地址時自動替換為攻擊者指定地址。

通過YouTube傳播的新型Neptune RAT木馬竊取Windows密碼

NeptuneRAT官網(wǎng)截圖（來源：Hackread.com）

• 勒索軟件與系統(tǒng)破壞：激活后會將受害者文件擴展名改為".ENC"進行加密，并釋放包含勒索信息的HTML文件。攻擊者還可破壞主引導(dǎo)記錄等系統(tǒng)組件使設(shè)備完全癱瘓。
• 隱蔽駐留技術(shù)：通過修改注冊表鍵值、添加Windows計劃任務(wù)實現(xiàn)持久化，并具備虛擬機檢測功能，發(fā)現(xiàn)虛擬環(huán)境立即終止運行。
• 擴展功能模塊：獨立DLL文件提供額外功能，包括繞過用戶賬戶控制、竊取郵件及瀏覽器數(shù)據(jù)，甚至支持實時屏幕監(jiān)控。

NeptuneRAT官網(wǎng)功能列表截圖（來源：Hackread.com）

防護建議

由于Neptune RAT采用復(fù)合攻擊策略，個人與企業(yè)需立即采取防護措施：僅從可信來源下載軟件、保持Windows系統(tǒng)及安全工具更新、定期備份重要數(shù)據(jù)。建議部署具備文件變更與網(wǎng)絡(luò)活動監(jiān)控功能的殺毒軟件。

專家觀點

馬薩諸塞州Black Duck公司首席安全顧問Satish Swargam指出："該木馬使用高級技術(shù)竊取敏感數(shù)據(jù)，通過GitHub等平臺繞過常規(guī)安全檢測。其勒索功能會導(dǎo)致企業(yè)運營中斷，實時屏幕監(jiān)控和錢包地址替換功能尤其危險。"

他強調(diào)，隨著該木馬持續(xù)添加新功能（常偽裝成教育軟件傳播），企業(yè)需加強終端防護、實施主動威脅檢測并保持持續(xù)監(jiān)控，才能有效降低感染風(fēng)險。