網絡安全公司CYFIRMA的研究人員近日發現新型Neptune RAT（遠程控制木馬）變種，該惡意軟件針對Windows設備進行攻擊。這款在GitHub、Telegram和YouTube等平臺以"最先進遠程控制工具"為噱頭推廣的木馬，正吸引著網絡犯罪新手和尋求現成工具的老牌黑客。

Neptune RAT木馬簡介

該木馬采用Visual Basic .NET編寫，旨在完全控制受害者的Windows計算機。雖然開發者聲稱該軟件僅用于"教育及道德測試目的"，但其實際功能完全背離這一聲明。

Neptune RAT不僅能竊取用戶憑證、替換加密貨幣錢包地址，還具備勒索軟件功能可鎖定文件，使攻擊者獲得對受感染系統的全面控制權。

傳播途徑分析

該惡意軟件通過社交平臺免費分發。開發者未公開源代碼，而是隱藏可執行文件增加分析難度。部分惡意代碼甚至使用阿拉伯字符和表情符號替換字符串，極大增加了研究人員的逆向工程難度。免費版本會自動生成PowerShell命令，從catbox.moe等文件托管服務下載運行額外組件。

主要危害功能

Neptune RAT通過多個協同工作的模塊危害Windows系統：

• 憑證竊取與剪貼板劫持：內置密碼抓取器可提取應用程序及主流瀏覽器的登錄憑證，同時監控剪貼板內容，當檢測到加密貨幣錢包地址時自動替換為攻擊者指定地址。

通過YouTube傳播的新型Neptune RAT木馬竊取Windows密碼

NeptuneRAT官網截圖（來源：Hackread.com）

• 勒索軟件與系統破壞：激活后會將受害者文件擴展名改為".ENC"進行加密，并釋放包含勒索信息的HTML文件。攻擊者還可破壞主引導記錄等系統組件使設備完全癱瘓。
• 隱蔽駐留技術：通過修改注冊表鍵值、添加Windows計劃任務實現持久化，并具備虛擬機檢測功能，發現虛擬環境立即終止運行。
• 擴展功能模塊：獨立DLL文件提供額外功能，包括繞過用戶賬戶控制、竊取郵件及瀏覽器數據，甚至支持實時屏幕監控。

NeptuneRAT官網功能列表截圖（來源：Hackread.com）

防護建議

由于Neptune RAT采用復合攻擊策略，個人與企業需立即采取防護措施：僅從可信來源下載軟件、保持Windows系統及安全工具更新、定期備份重要數據。建議部署具備文件變更與網絡活動監控功能的殺毒軟件。

專家觀點

馬薩諸塞州Black Duck公司首席安全顧問Satish Swargam指出："該木馬使用高級技術竊取敏感數據，通過GitHub等平臺繞過常規安全檢測。其勒索功能會導致企業運營中斷，實時屏幕監控和錢包地址替換功能尤其危險。"

他強調，隨著該木馬持續添加新功能（常偽裝成教育軟件傳播），企業需加強終端防護、實施主動威脅檢測并保持持續監控，才能有效降低感染風險。