游戏玩家注意！AT&T检测到一种隐蔽的远程访问木马

近期，一种名为“SeroXen”的隐蔽远程访问木马（RAT）因其低检测率和强大的功能而受到黑客的青睐。据AT&T（美国电信巨头）报告，该恶意软件以Windows 10及11的合法远程访问工具的名义售卖，每月订阅费30美元或单次支付60美元购买终身许可证。

虽然它表面上营销为合法程序，但Flare Systems的网络情报平台显示，SeroXen在黑客论坛上实际宣传为远程访问木马，声称能够在不被发现的情况下访问计算机。该远程访问程序的低成本及易获取性使其很容易被滥用，AT&T自SeroXen面世以来已经观察到数百个样本，并且最近活动有所增加。SeroXen主要通过流行游戏如《堡垒之夜》和《使命召唤：战区》等的作弊方式传播，目前大多数受害者都是游戏社区的成员。但随着该工具的普及，攻击范围扩大到大型公司和组织可能只是时间问题。

AT&T在分析后发现，SeroXen的开发基于各种开源项目，包括Quasar RAT、r77-rootkit和NirCmd命令行工具。Quasar RAT是一个免费发布在GitHub上的开源远程管理工具，最初发布于2014年。它的最新版本1.41具有反向代理、远程Shell、远程桌面、TLS通信和文件管理系统。r77-rootkit是一个开源rootkit，主要功能为无文件持久性、子进程挂钩、恶意软件嵌入、内存进程注入和免杀等。NirCmd则是一个免费的实用程序，可以从命令行执行简单的Windows系统和外围设备管理任务。

AT&T在报告中评论道：“SeroXen的开发者找到了一种强大的组合，利用免费资源开发了一种难以在静态和动态分析中检测到的RAT。”

根据AT&T的分析，黑客通常是通过钓鱼邮件或Discord频道推送SeroXen进行攻击，分发的是包含严重混淆的批处理文件的ZIP存档。一旦受害者启动远程访问恶意软件，它就会与C&C服务器建立通信，并等待攻击者发出的命令。

该RAT非常难以检测，SeroXen唯一创建的文件是msconfig.exe，但是这个文件会被放在一个看起来合法的文件夹中，在注入到正在运行的进程后运行恶意软件并删除自身。由于该恶意软件是无文件的且仅在内存中执行，可能会导致一些杀毒软件无法检测到它。除此之外，它还具有一些其他功能，例如能够识别虚拟化环境，一旦它检测到自己是在虚拟机或其他沙箱中运行，就将中止执行，从而延迟威胁分析。

鉴于其造成的影响在将来很可能会扩大，AT&T的Alien Labs团队表示其将继续监控SeroXen样本和基础设施的威胁态势。报告链接：https://cybersecurity.att.com/blogs/labs-research/seroxen-rat-for-sale