科技媒体 bleepingcomputer 昨日发布博文，报道称安全公司趋势科技报告针对微软 Windows 10 和 Windows 11 系统的 LOLBIN 攻击技术，

　　LOLBIN 攻击技术简介

　　趋势科技报告称 LOLBIN 攻击可以追溯到 2022 年，已确认超过 200 名受害者，主要通过伪装成政府机构、非政府组织、智库或执法部门的钓鱼邮件进行攻击。

　　攻击邮件中包含名为“IRSetup.exe”的恶意附件。一旦受害者执行该附件，恶意程序会将多个文件释放到“C:\ProgramData\session”目录，包括合法的系统文件、恶意软件组件以及一个用于迷惑用户的 PDF 文件。

　　恶意程序检测到目标主机安装了 ESET [*]毒软件时，会利用 Windows 10 及更高版本预装的“微软应用程序虚拟化注入器”进行攻击。

　　黑客会将恶意代码注入到“waitfor.exe”进程中。“waitfor.exe”是 Windows 系统中一个用于同步进程的合法工具，由于其具有系统信任，因此可以逃避[*]毒软件的检测。

　　被注入的恶意代码是经过修改的 TONESHELL 后门，隐藏在一个名为“EACore.dll”的文件中。运行后，该后门会连接到位于“militarytccom:443”的命令控制服务器，发送系统信息和受害者 ID，并允许攻击者远程执行命令和操作文件。

　　ESET 反驳

　　援引博文，针对趋势科技的报告，ESET 发表ESET 声称早在 1 月份就已针对该恶意软件添加了特定检测，ESET 用户目前受到保护，免受该恶意软件和技术的侵害。