一种新的Neptune RAT变种正在通过YouTube和Telegram分享，旨在窃取Windows用户密码并传播其他恶意软件组件。

CYFIRMA的网络安全研究人员披露了Neptune RAT的新版本，这是一款针对Windows设备的远程管理工具。该恶意软件在 GitHub、Telegram和YouTube等平台上宣传，并声称是“最先进的RAT”，它既吸引了网络犯罪新手，也吸引了寻找现成工具的经验丰富的黑客。

Neptune RAT是用Visual Basic .NET编写的，旨在控制受害者的Windows计算机。尽管其创建者称该软件是为了“教育和道德目的”而提供的，但该工具的功能却表明并非如此。

Neptune RAT旨在窃取用户凭证、替换加密货币钱包地址，甚至使用勒索软件功能锁定文件，让攻击者能够全面控制受感染的系统。

该恶意软件在社交平台上免费分发。开发人员没有发布源代码，而是隐藏了可执行文件，这让分析变得更加复杂。一些恶意代码甚至用阿拉伯字符和表情符号替换部分字符串，这让研究人员的逆向工作变得更加复杂。在其免费版本中，Neptune RAT会自动生成PowerShell命令来下载和运行托管在文件托管服务(如catbox.moe)上的其他组件。

Neptune RAT带有多种模块，可以协同攻击Windows计算机，其中包括：

1. 凭证盗窃和剪贴板劫持：该恶意软件包含一个密码抓取程序，可从应用程序和流行的网络浏览器中提取登录详细信息。它还监视剪贴板以检测加密货币钱包地址，并将其替换为攻击者自己的地址。

2. 勒索软件和系统损坏：一旦激活，RAT可以加密受害者计算机上的文件，将其扩展名扩展为“.ENC”，并删除包含赎金信息的HTML文件。如果攻击者希望使系统无法使用，它甚至可能破坏主引导记录等系统组件。

3. 逃避和持久性：为了避免被删除，恶意软件会修改注册表值并将自身添加到Windows任务计划程序中。它还会检查自己是否在虚拟环境中运行，如果检测到虚拟机，则会停止执行。这些技术的组合有助于它在系统上保持持久立足点。

4. 附加模块：单独的DLL文件增加了更多功能，包括绕过用户帐户控制、从各种电子邮件和浏览器应用程序中窃取数据，甚至启用实时屏幕监控。

由于Neptune RAT使用不同的策略，个人和组织都需要迅速采取行动来保护自己。最好的方法从一些简单的做法开始：只从您信任的来源下载软件，确保Windows和所有程序（尤其是安全工具）保持最新状态，并定期备份任何重要数据。

使用可以监视文件更改和网络活动的防病毒软件也是一个好主意，可以更好地防止任何可疑活动。

马萨诸塞州伯灵顿Black Duck首席安全顾问Satish Swargam就Neptune RAT的演变发表了自己的看法。他解释说，该恶意软件使用先进的技术从用户那里提取敏感数据，并通过GitHub、Telegram和YouTube等平台传播，从而避开了标准安全工具的检测。

“这种工具尤其令人担忧，因为它可以部署勒索软件来锁定您的文件，导致企业严重中断，直到支付赎金为止。它还允许黑客实时监视屏幕，甚至将剪贴板内容与他们自己的加密货币钱包地址交换，”Swargam指出。

他补充说，随着恶意软件不断增加新功能，类似于以教育软件为名在网上分享的功能，组织需要保持持续监控，部署强大的端点防御，并实施主动威胁检测措施，以降低受到攻击的风险。