Java远控木马伪装游戏工具在浏览器与聊天应用传播

Java远控木马通过恶意游戏工具传播

微软威胁情报团队近期发现一起恶意攻击活动，威胁行为者通过浏览器和聊天平台传播基于Java的远程访问木马（RAT），手段是将恶意代码植入游戏工具中（即“特洛伊化”）。这些被篡改的工具诱骗毫无戒心的用户执行恶意负载，进而感染系统。

攻击技术细节

根据微软的调查结果，此次攻击链的起点是一个恶意下载器，该下载器会部署一个便携式Java运行时环境。随后，下载器执行一个名为**jd-gui.jar的恶意Java归档（JAR）文件**，并利用PowerShell推进感染流程。

尽管微软未公开具体的攻击指标（IoCs）或精确的传播途径，但攻击中使用的基于Java的恶意软件和PowerShell表明，这是一个旨在规避检测并建立持久性的多阶段攻击。

影响与风险

**远程访问木马（RAT）**的部署使威胁行为者能够：

• 获取受感染系统的未经授权的远程访问权限
• 窃取敏感数据，包括凭据和个人信息
• 投放额外的恶意负载，进一步实施攻击
• 在受感染网络中维持持久性

由于攻击目标锁定游戏工具，此次攻击活动可能利用了寻找破解软件、游戏Mod或作弊工具的用户——这类资源在游戏社区中常被用作恶意软件的传播媒介。

安全团队防范建议

为降低此类威胁带来的风险，企业和个人用户应采取以下措施：

• 阻止或监控可疑的PowerShell执行，特别是启动Java进程的操作
• 限制从非官方来源下载未经验证的游戏工具、Mod或作弊软件
• **部署终端检测与响应（EDR）**解决方案，识别Java运行时的异常行为
• 加强用户教育，警惕从未经验证平台下载软件的风险
• 及时更新和修补Java运行时环境，修复已知漏洞

微软目前尚未将此次攻击活动归因于特定威胁行为者或组织。随着更多**攻击指标（IoCs）**的披露，预计将有进一步的分析报告发布。