x64dbg 被 PlugX 恶意软件伪装：警惕安全隐患

关键要点

• x64dbg 开源调试工具被新的 PlugX 恶意软件伪装以避免检测。
• 恶意行为者利用 x64dbg 的有效数字签名绕过安全系统，增强特权、保持持续性以及规避文件执行限制。
• 研究人员发现，该工具文件被用于分发 UDP shell 客户端后门，能在等待额外远程命令时收集系统信息。
• 尽管安全技术不断进步，DLL 加载侧面攻击仍然是攻击者的常用手段。

根据 的报道，开源的 Windows 调试工具 x64dbg 最近在攻击中被 PlugX（也称为
Korplug）恶意软件伪装，以防止被检测。根据趋势科技的报告，攻击者可能会利用 x64dbg文件的有效数字签名来绕过安全系统，轻松实现特权提升、持久化和规避文件执行限制等恶意操作。

研究人员表示，他们还发现该调试工具文件被用来推动一种 UDP shell客户端后门的分发，这种后门可以在等待额外的远程服务器命令时进行系统信息收集。研究者指出：“尽管安全技术不断进步，攻击者仍然利用 DLL侧加载技术，因为它利用了对合法应用程序的基本信任。只要系统和应用程序继续信任并加载动态库，这种技术依然可行，攻击者将能够继续传播恶意软件并获取敏感信息。”

补充信息
– 想了解更多关于 PlugX 恶意软件的详细信息，可以访问 。 – 为了防止类似攻击，企业应定期审计应用程序的数字签名并加强对动态库的管理。

风险 | 描述
—|—
特权提升 | 恶意软件通过伪装的工具获取高权限
持久性 | 在系统中持续存在，难以被检测
信息收集 | 盗取系统信息并等待外部命令

保持警惕，定期升级安全措施，以防电子设备受到类似威胁。