文章总结： 威胁行为者伪造Notepad++和7-zip官网分发合法RMM工具，诱骗用户安装后获取系统控制权并部署PatoRAT后门。此类攻击利用合法软件规避检测，建议用户核实下载来源并加强异常连接监控以防范持久化入侵。 综合评分： 84 文章分类： 威胁情报,恶意软件,社会工程学,网络安全,安全意识

威胁行为者利用伪造的 Notepad++ 和 7-zip 网站部署远程监控工具

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年1月28日 09:01 北京

网络犯罪分子越来越多地通过模仿热门软件下载页面的虚假网站分发恶意远程监控和管理 (RMM) 工具。

这些欺骗性网站冒充 Notepad++ 和 7-Zip 等合法实用程序，诱骗用户安装 LogMeIn Resolve 等远程访问工具，而不是他们想要下载的软件。

一旦安装，这些远程监控管理 (RMM) 工具允许攻击者完全控制受感染的系统，远程执行命令，并部署 PatoRAT 等其他恶意软件有效载荷。

攻击始于用户访问欺诈性下载页面，通常是通过广告或搜索引擎操纵实现的。

这些网站的外观和布局与官方软件分发网站非常相似，普通用户很难发现它们。

当访客尝试下载 Notepad++ 或 7-Zip 时，这些虚假网站会提供 LogMeIn Resolve 或 PDQ Connect——这些都是合法的远程管理工具，攻击者会将其重新用于恶意目的。

这些工具在安装后会向各自的基础设施注册，建立持久连接，威胁行为者会利用这种连接来维持访问权限。

ASEC 分析师发现，在初始感染阶段，利用 RMM 工具的攻击显著增加。

与传统恶意软件不同，这些合法的远程控制应用程序通常可以逃避防病毒软件的检测，给安全团队带来了严峻的挑战。

研究人员记录了一些案例，攻击者同时部署了 LogMeIn Resolve 和 PDQ Connect 来执行 PowerShell 命令并安装后门恶意软件，从而为系统入侵和数据窃取创造了多条途径。

感染机制和远程访问部署

感染过程依赖于利用用户对知名软件品牌的信任进行社会工程攻击。虚假网站会显示极具迷惑性的下载按钮、版本号和安装选项，与合法页面如出一辙。

当用户执行下载的安装程序时，他们会在不知不觉中安装 LogMeIn Resolve 或 PDQ Connect，而不是预期的实用程序。

这些RMM 工具提供远程支持、补丁管理和系统监控等功能——这些功能原本是为 IT 管理员设计的，但却被攻击者利用来进行未经授权的访问。

安装完成后，RMM 工具会向其基于云的管理基础架构注册，使攻击者无需额外身份验证即可远程连接。

然后，威胁行为者通过 RMM 界面执行 PowerShell 命令来下载并安装 PatoRAT，这是一个后门程序，即使 RMM 工具后来被移除，它也能提供持久访问权限。

这种多阶段方法确保对受损系统的持续控制，并允许攻击者部署勒索软件、窃取凭证或在企业网络中建立立足点。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《威胁行为者利用伪造的 Notepad++ 和 7-zip 网站部署远程监控工具》