惡意活動背景與核心漏洞機制

安全專家披露了一項活躍的惡意軟體活動的細節，該活動利用與開源c-ares 庫相關的合法二進位檔案中的DLL 側加載漏洞來繞過安全控制，並傳播各種通用木馬和竊取程式。這類攻擊的核心在於操縱軟體加載動態鏈接庫（DLL）的優先順序。Trellix在一份發給The Hacker News的報告中指出：攻擊者通過將惡意libcares-2.dll與任何已簽名的合法ahost.exe（他們通常會重命名）配對來執行其代碼，從而實現規避，這種DLL側加載技術使惡意軟體能夠繞過傳統的基於特徵碼的安全防禦。

攻擊路徑與二進位檔案劫持技術

該攻擊的關鍵在於將惡意版本的 DLL 檔案放置在與存在漏洞的二進位檔案相同的目錄中，利用其易受搜尋順序劫持的特性，執行惡意 DLL 檔案的內容而非合法的對應文件，從而賦予攻擊者程式碼執行權限。這次攻擊活動中使用的「ahost.exe」可執行檔由GitKraken簽名，通常作為 GitKraken 桌面應用程式的一部分分發。黑客藉由利用這些具備合法數位簽名的檔案，成功降低了端點防禦系統（EDR）的警示機率，使惡意行為在受感染系統中得以隱蔽執行。

惡意軟體載荷與全球目標分析

據觀察，該活動散佈了各種各樣的惡意軟體，例如Agent Tesla、CryptBot、Formbook、Lumma Stealer、Vidar Stealer、Remcos RAT、Quasar RAT、DCRat和XWorm。這些載荷涵蓋了從鍵盤記錄、憑證竊取到遠端控制的多種功能。惡意活動的目標包括石油天然氣、進出口等商業和工業部門的財務、採購、供應鏈和行政人員，誘餌文字使用阿拉伯語、西班牙語、葡萄牙語、波斯語和英語編寫，這表明攻擊僅限於特定地區。這種精準鎖定高價值產業人員的策略，顯示了攻擊者對商業間諜活動與非法獲利的強烈動機。

瀏覽器內瀏覽器 BitB 釣魚手法解析

就在Trellix披露這一消息的同時，該公司還報告稱，利用「瀏覽器內瀏覽器」（BitB）技術攻擊Facebook的釣魚詐騙案件激增，這些詐騙旨在模擬Facebook身份驗證頁面，誘騙毫無戒心的用戶輸入其登錄憑證。這種技術透過在受害者合法的瀏覽器視窗中使用iframe元素來建立一個虛假的彈出視窗來實現其功能，使得使用者幾乎無法區分真假登入頁面。這種攻擊通常始於一封釣魚郵件，該郵件可能偽裝成律師事務所的來信。這封郵件通常包含一份關於侵權視頻的虛假法律通知，並包含一個偽裝成Facebook登錄鏈接的超鏈接。

社會工程學與心理誘導鏈路

研究員馬克約瑟夫馬蒂表示：受害者一旦點擊短鏈接，就會被重定向到一個偽造的 MetaCAPTCHA 驗證碼頁面，該頁面會誘導受害者登入其 Facebook 帳戶。登入後，會觸發一個彈出窗口，該窗口利用 BitB 方法顯示一個虛假的登入頁面，旨在竊取受害者的登入憑證。這種方法透過在受害者的瀏覽器中創建一個定制的虛假登錄彈出窗口，利用用戶對身份驗證流程的熟悉程度，使得憑證竊取幾乎無法通過視覺方式檢測到。

合法雲端基礎設施的濫用趨勢

關鍵的變化在於濫用可信的基礎設施，利用用戶對身份驗證流程的熟悉程度，使得憑證竊取幾乎無法通過視覺方式檢測到。關鍵的變化在於濫用可信任的基礎設施，利用Netlify和Vercel等合法的雲託管服務以及URL 縮短服務來繞過傳統的安全過濾器，從而為釣魚頁面的安全設施。趨勢科技表示：本報告分析的AsyncRAT攻擊活動表明，攻擊者濫用合法服務和開源工具來逃避檢測並建立持久遠程訪問的手段日益高明。攻擊者利用基於Python的腳本，並濫用Cloudflare的免費套餐基礎設施來託管惡意載荷，成功地將其活動隱藏在受信任的域名下，繞過了傳統的安全控制。

總結與防禦演算法前瞻

當前的威脅環境顯示，攻擊者已不再依賴單一的漏洞利用，而是結合了 DLL 側加載、BitB 心理攻擊以及對主流雲端平台的基礎設施濫用。這種多層次的攻擊手段極大地提高了檢測難度。企業應強化對已簽名二進位檔案執行路徑的監控，並針對 BitB 釣魚手法加強員工的安全意識培訓，特別是針對行政與採購等高風險職位的多因素驗證（MFA）部署。同時，安全團隊需重新評估對 Netlify、Vercel 與 Cloudflare 等合法域名的信任策略，以防止攻擊者利用這些「信任盲點」滲透內部網路。