银狐利用快连 vpn 和 QQ 浏览器传播恶意程序 Winos v4.0

正文

请到「今天看啥」查看全文

QQ浏览器变种（2025年2月）

最初发现的样本伪装成QQ浏览器安装包 QQBrowser_Setup_x64.exe ，执行后会在 %APPDATA% 目录下创建Axialis文件夹并投递多个文件：

• Axialis.vbs - VBScript启动器
• Axialis.ps1 - PowerShell加载器
• Axialis.dll - 恶意DLL
• Config.ini 和 Config2.ini - 包含shellcode的配置文件

恶意软件通过互斥体 VJANCAVESU 来决定加载哪个配置文件，展现出复杂的条件执行逻辑。

LetsVPN变种（2025年4月）

随着时间推移，攻击者调整了策略，开始使用 regsvr32.exe 直接调用DLL，避免使用PowerShell脚本。新变种 Lets.15.0.exe 伪装成LetsVPN安装包，展现出更强的反检测能力。

关键技术细节：

1. 防御规避

请到「今天看啥」查看全文