安全公司曝光新型 Windows 木马 LabubaRAT:用 Rust 开发伪装英伟达驱动

安全公司曝光新型 Windows 木马 LabubaRAT:使用 Rust 开发、伪装成“英伟达驱动”诱导用户安装

精选理由

Blackpoint Cyber 发现了用 Rust 写的 Windows 木马 LabubaRAT,伪装成英伟达驱动,能远程控制你的电脑,而且可能变成订阅制的恶意软件服务。

AI 摘要

安全公司 Blackpoint Cyber 披露木马 LabubaRAT,它使用 Rust 语言开发,伪装成“nvidia-sysruntime.exe”诱导安装。该木马通过 HTTPS、WebView2 和 DNS Tunnel 等多种方式与 C2 服务器通信,可远程命令执行、运行 PowerShell/JavaScript 脚本、截图、文件上传下载等。研究人员发现 LabubaRAT 可能以恶意软件即服务(MaaS)订阅制形式运营,扩大威胁范围。

原文 · IT之家

安全公司曝光新型 Windows 木马 LabubaRAT:使用 Rust 开发、伪装成“英伟达驱动”诱导用户安装

IT之家 7 月 15 日消息,安全公司 Blackpoint Cyber 发文,披露了一款名为 LabubaRAT 的新型木马,黑客将其伪装成英伟达驱动“ nvidia-sysruntime.exe ”,通过多种方式诱导用户安装,该木马可在 Windows 系统中建立持久化访问能力,并执行多种远程控制操作。 IT之家参考通报获悉,LabubaRAT 使用 Rust 语言开发,该木马在运行后首先会收集设备环境信息,并通过 HTTPS、WebView2 和 DNS Tunnel 等多种通信方式从黑客设置的 C2 服务器中下载恶意脚本。 研究人员指出,LabubaRAT 拥有较为完整的远程控制功能,可执行远程命令、运行 PowerShell 和 JavaScript 脚本、截取屏幕、上传和下载文件、压缩数据,以及搭建 SOCKS5 代理等操作。同时从目前掌握的迹象来看,LabubaRAT 未来可能会以“恶意软件即服务(MaaS)”订阅制形式运营,进一步扩大威胁范围。 研究人员提醒,由于英伟达驱动在 AI 开发和企业环境中的普及率较高,用户应始终通过官方渠道下载软件包,以降低遭遇恶意攻击的风险。