黑客免費提供的Cobian RAT中暗藏後門，碟中諜套路太深

如果你正在網上尋找免費現成的黑客工具，那麼就要注意了，多數聲稱是黑客「瑞士軍刀」的免費黑客工具實際上是個坑！

去年出現的Facebook黑客工具實際上能入侵使用者的Facebook賬戶。現在已發現遠程訪問木馬 (RAT) 工具包(即Cobian RAT)最近出現在多個地下黑客論壇中，說是免費但其實包含用來幫助工具作者訪問所有受害者數據的後門！

Cobian RAT從2月份就開始流通，它與2013年就已出現的njRAT和H-Worm惡意軟體家族存在著某些相似之處。

免費工具包中暗藏後門

Zscaler公司的ThreatLabZ研究人員發現了這個惡意軟體包的後門本質，Cobian RAT可能能讓其他相當黑客的人(wannabe hackers)相對輕鬆地構建自己的木馬版本。

一旦犯罪分子利用這個免費工具包創建了自定義惡意軟體，他們就會通過被攻陷網站或傳統的垃圾郵件活動有效傳播給遍布全球的受害者，並能夠將受感染設備納入惡意殭屍網路中。

Cobian RAT隨後會竊取被攻陷系統中的數據，從而記錄按鍵，截屏，記錄音頻和網路攝像頭視頻，安裝並卸載程序，執行shell命令，使用動態插件以及進行文件管理。

如果你以為這些功能都是免費的話，那麼就大錯特錯了。通過免費Cobian RAT惡意軟體工具包創建的自定義RAT隱藏有一個後門模塊，它會靜默連接到一個Pastebin URL，即工具包作者的C&C伺服器。

惡意軟體包的作者隨時可利用這個後門向所有構建於該平台上的RAT發布命令，最終導致那些想拿著這個工具去攻擊別人的人和拿著這個工具攻陷的系統被感染。研究人員指出，惡意軟體包作者實際上使用了眾包模式構建了一個利用二級操作者殭屍網路的元殭屍網路。

研究人員還解釋稱Cobian原來的開發人員「依靠的是二級操作者構建的RAT payload然後傳播感染的。」開發人員隨後會利用這個後門模塊完全控制所有Cobian RAT殭屍網路中的所有被攻陷的系統。他們甚至還可以通過更改C&C伺服器信息移除二級操作者。

研究人員最近發現的一個唯一Cobian RAT payload，據稱來自一個巴基斯坦國防和電信解決方案網站（已遭攻陷）並且偽裝成一個Excel文件隱藏在一個.zip壓縮文檔中。

因此，使用免費網路產品的時候要特別謹慎。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！