6 月 25 日消息，美運營商 AT&T 旗下的安全公司 LevelBlue 近日發(fā)布報告，曝光一款名為 SquidLoader 的木馬，這款木馬主要波及簡體中文用戶，黑客將相關木馬打包成各種“產(chǎn)品介紹”文檔，對不知情的受害者進行攻擊。

從報告中獲悉，黑客設置一系列名為“華為工業(yè)級路由器的產(chǎn)品介紹及客戶成功案例”、“黃河水利職業(yè)技術學院簡章”等釣魚文檔，但實際上這些文檔都是隱藏的可執(zhí)行文件，據(jù)稱如此命名主要是“吸引不知情的受害者上當”，一旦受害者打開“文檔”，這些隱藏的可執(zhí)行文件便會自動向黑客設置的遠程服務器上的 URL 發(fā)出 Get HTTPS 請求，然后自動部署?SquidLoader 木馬。

值得注意的是，這款木馬據(jù)稱具備高度反檢測能力，為了讓其看起來像正常的系統(tǒng)進程，黑客利用已經(jīng)過期的合法證書蒙騙系統(tǒng)，同時文件中還混淆了大量來自微信、mingw-gcc 等應用的代碼（實際無法正常執(zhí)行）以防止安全公司檢測，同時木馬內(nèi)置的部分功能函數(shù)含有 call 或 jmp 指令以指向另一個功能函數(shù)，從而導致安全公司的反編譯工具出現(xiàn)解析錯誤。

此外，黑客也在代碼中利用各種無意義的誘餌指令來欺騙研究人員，并通過堆棧的方式使用 XOR 密鑰來加密特定字符串。此外，這些黑客也針對 Shell Code 相關的功能函數(shù)進行控制流圖（Control Flow Graph，CFG）混淆處理，導致 CFG 被扁平化為帶有大量 switch 字符串的無限循環(huán)，進一步防止安全公司檢測。

據(jù)此，安全公司警告用戶應當謹慎下載任何文檔文件，以防止設備中關鍵內(nèi)容外泄，安全公司同時警告，由于此類攻擊技術 / 手法易于復制，未來很有可能被其他黑客開發(fā)者效仿。