某攻击组织搭建了火绒安全杀毒软件的仿冒网站，诱骗用户下载基于Winos4.0框架开发的远程访问木马（RAT）ValleyRAT。该攻击活动与中文APT组织"银狐"有关，该组织以分发中国流行软件的带毒版本而闻名。

火绒安全是中国大陆广泛使用的免费杀毒产品。攻击者注册了huoronga[.]com域名——仅比正规域名huorong.cn多一个字母，几乎完美复制了官方网站。这种域名仿冒手段专门针对输错地址或通过钓鱼链接访问的用户，页面仿真度极高，普通访客难以察觉。

Malwarebytes分析师完整还原了感染链条：当访客点击下载按钮时，请求会先经过中间域名中转，最终从Cloudflare R2存储获取名为"BR火绒445[.]zip"的恶意载荷，文件名使用中文"火绒"字样维持伪装。

该攻击不依赖0Day漏洞，完全依靠高仿网站、逼真安装包以及用户习惯性点击首个搜索结果的心理。由于诱饵是安全产品，针对主动寻求防护的用户更具欺骗性。

ValleyRAT安装后，攻击者可监控受害者、窃取敏感数据并远程控制系统。该恶意软件能记录键盘输入、读取浏览器Cookie、查询系统信息，并通过进程注入实现隐蔽执行。其模块化设计支持按需下载额外功能，使得完整危害范围难以评估。

持久化与规避技术

入侵后，ValleyRAT通过PowerShell指令让Windows Defender忽略其持久化目录（AppData\Roaming\trvePath）和主进程（WavesSvc64.exe）。随后在C:\Windows\Tasks\创建名为"Batteries"的计划任务，实现开机自启并通过TCP 443端口连接C2服务器161.248.87[.]250。

为规避检测，该恶意软件会删除并重写核心文件避免特征匹配，并在完全部署前检查调试器和虚拟机环境。配置数据（包括编码后的C2域名yandibaiji0203[.]com）存储在注册表HKCU\SOFTWARE\IpDates_info项下。

入侵指标（IOC）

参考来源：

Fake Huorong Download Site Used to Deploy ValleyRAT Backdoor in Targeted Malware Campaign

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）