据观察，黑客将PlugRAT远程访问木马伪装成Microsoft调试器，以绕过防病毒解决方案并破坏目标端点。

趋势科技的网络安全专家最近发现了一个身份不明的威胁行为者使用x64dbg来传播木马。x64dbg是一个开源调试工具，据称在开发者社区中非常流行。它通常用于检查内核模式和用户模式代码、故障转储或CPU寄存器。

然而，它在这里被用于称为DLL侧加载的攻击。

令人困惑的防病毒工具

为了使程序正常运行，它需要特定的.DLL文件。如果有多个同名的DLL文件，它将首先运行与执行文件位于同一文件夹中的文件，这就是黑客所利用的。通过将修改后的DLL文件与程序一起交付，他们确保合法软件最终会触发恶意软件。

研究人员解释说，在这种情况下，该软件带有一个有效的数字签名，可以“混淆”一些安全工具。这允许威胁行为者“在雷达下飞行”、保持持久性、提升特权并绕过文件执行限制。

“使用开源调试器工具x32dbg.exe[x64dbg的32位调试器]对恶意软件攻击的发现和分析向我们表明，DLL侧加载今天仍然被威胁参与者使用，因为它是规避安全的有效方法措施并获得对目标系统的控制权，”趋势科技的报告(在新标签页中打开)读。

“攻击者继续使用这种技术，因为它利用了对合法应用程序的基本信任，”报告继续说道。“这种技术对于攻击者传播恶意软件来说仍然可行(在新标签页中打开)只要系统和应用程序继续信任并加载动态库，就可以访问敏感信息。”

防止此类威胁的最佳方法是确保您知道自己正在运行哪些程序，并且您信任共享可执行文件的人。趋势科技认为，侧载攻击在未来几年仍将是一种有效的攻击媒介，因为它们利用了“对合法应用程序的基本信任”。

“只要系统和应用程序继续信任和加载动态库，这种技术就可以让攻击者传播恶意软件并获得对敏感信息的访问权限;”他们得出结论。