5 月 5 日消息，安全公司 Cybereason 發(fā)布預(yù)警，曾臭名昭著的惡意腳本 Phorpiex 近期再度活躍，成為 LockBit 3.0 勒索木馬的傳播載體。值得警惕的是，一旦設(shè)備感染該腳本，LockBit 勒索木馬將自動(dòng)下載運(yùn)行，整套攻擊流程實(shí)現(xiàn)高度自動(dòng)化，黑客無需額外遠(yuǎn)程操控即可完成攻擊，這無疑大幅提升了攻擊效率與隱蔽性。

據(jù) Cybereason 披露，此次 Phorpiex 腳本主要通過釣魚郵件進(jìn)行傳播。攻擊者精心偽裝，在郵件中夾帶暗藏惡意腳本的 ZIP 壓縮包。一旦用戶不慎雙擊壓縮包內(nèi)的.SCR 文件，腳本便會(huì)立即啟動(dòng)。隨即，腳本會(huì)主動(dòng)連接黑客搭建的命令與控制（C2）服務(wù)器，開始下載名為 lbbb.exe 的 LockBit 3.0 勒索木馬。在此過程中，為確保勒索木馬順利下載，腳本會(huì)先行清除受害者設(shè)備上的 URL 緩存記錄，防止本地緩存影響惡意文件的下載與后續(xù)部署。

在躲避安全檢測(cè)方面，Phorpiex 腳本展現(xiàn)出極強(qiáng)的反偵察能力。為掩蓋真實(shí)惡意行為，腳本對(duì)關(guān)鍵字符串進(jìn)行加密處理，并在運(yùn)行時(shí)動(dòng)態(tài)解析函數(shù)，僅在執(zhí)行階段才解密并加載所需的系統(tǒng)組件，這使得靜態(tài)檢測(cè)難以識(shí)別其惡意本質(zhì)。此外，所有下載的惡意文件均被存放在系統(tǒng)臨時(shí)文件夾內(nèi)，并以隨機(jī)文件名命名，以此繞過依賴特征比對(duì)的安全軟件掃描。更為惡劣的是，當(dāng)勒索木馬成功部署后，Phorpiex 腳本會(huì)自動(dòng)刪除相關(guān)來源痕跡文件，將攻擊線索徹底抹去，極大增加了溯源追蹤的難度。用戶需提高警惕，謹(jǐn)慎處理不明郵件及附件，避免成為此類惡意攻擊的受害者。