新型攻击利用微软帮助索引文件传播pipemagic后门 -凯发娱乐登录

网络安全研究人员近日发现，2025年针对沙特阿拉伯和巴西组织的恶意软件活动出现新策略，攻击者利用微软帮助索引文件（.mshi）传播“pipemagic”后门。当受害者执行此类文件时，会触发一个感染链：系统命令行工具启动微软的msbuild框架，进而执行恶意代码。该代码使用rc4算法及硬编码密钥解密内嵌的shellcode，并通过特定windows api函数（enumdisplaymonitors）执行。该shellcode采用复杂技术动态解析系统api地址以规避检测，最终在受感染系统上加载并部署pipemagic后门。