木马化的游戏工具通过浏览器和聊天平台传播基于Java的RAT

Source: The Hacker News

请提供您希望翻译的具体文本内容，我将为您翻译成简体中文并保持原有的格式、Markdown 语法以及技术术语不变。

威胁概述

威胁行为者正诱骗毫无防备的用户运行被植入特洛伊木马的游戏工具，这些工具通过浏览器和聊天平台分发，以投放远程访问木马（RAT）。

攻击链细节

• 恶意下载器部署一个便携式 Java 运行时，并执行名为 jd-gui.jar 的恶意 JAR 文件。
• 通过 PowerShell 和诸如 cmstp.exe 的本地系统二进制文件（LOLBins）执行，以实现隐蔽。
• 初始下载器自删，并为 RAT 组件配置 Microsoft Defender 排除项。
• 通过计划任务和名为 world.vbs 的 Windows 启动脚本实现持久化。
• 最终负载连接到外部 C2 服务器 79.110.49[.]15，实现数据渗漏并部署额外负载。

“恶意下载器部署了一个便携式 Java 运行时并执行了名为 jd‑gui.jar 的恶意 Java 存档（JAR）文件，” Microsoft 威胁情报团队在 X 上的帖子中表示。

防御建议

• 审计 Microsoft Defender 的排除项和计划任务。
• 删除任何恶意任务或启动脚本（例如 world.vbs）。
• 及时隔离受影响的终端。
• 重置访问受损主机的用户凭据。

Steaelite RAT

BlackFog 在 2025 年 11 月首次在犯罪论坛上宣传了一款新的 Windows RAT 家族 Steaelite，称其为“最佳 Windows RAT”，具备“完全不可检测”（FUD）的能力。该 RAT 兼容 Windows 10 和 11。

关键特性

• 将数据窃取和勒索软件合并到同一个 Web 面板中，且正在开发 Android 勒索模块。
• 包含用于键盘记录、客户端‑到‑受害者聊天、文件搜索、USB 传播、壁纸修改、UAC 绕过以及 剪贴板劫持功能 的开发者工具。
• 能够移除竞争性恶意软件、禁用 Microsoft Defender 或配置排除项，并安装持久化机制。

主要功能

• 远程代码执行、文件管理、实时流媒体、摄像头/麦克风访问。
• 进程管理、剪贴板监控、密码窃取、已安装程序枚举、位置追踪。
• 任意文件执行、URL 打开、DDoS 攻击、VB.NET 载荷编译。

“该工具让运营者能够通过基于浏览器的控制面板对受感染的 Windows 机器进行控制，涵盖远程代码执行、凭据窃取、实时监控、文件外泄以及勒索软件部署等功能，”安全研究员 Wendy McCague 说道。

其他新兴 RAT 家族

• DesckVB RAT – 在 GitHub 上跟踪: .
• KazakRAT – 由 Ctrl Alt Intel 详细说明: .

KazakRAT 被怀疑由一个与国家关联的集群运营，针对哈萨克斯坦和阿富汗实体，自至少 2022 年 8 月起持续活动。这两个家族都实现了全面的远程控制以及选择性的后渗透能力部署。