文章总结： 微软警告攻击者利用伪造的Xeno和Roblox游戏工具传播Windows远程控制木马。攻击通过虚假文件启动，滥用LOLBins和PowerShell执行恶意操作，下载RAT组件。恶意软件会修改Defender排除项并建立持久化机制以长期控制系统。建议组织监控出站流量、阻断恶意域名IP，并排查Defender排除项与计划任务等异常条目以确保安全。 综合评分： 80 文章分类： 恶意软件,威胁情报,终端安全

微软警告：有人利用伪造的 Xeno 和 Roblox 工具安装 Windows 远程控制木马

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年3月2日 09:01 湖北

导读

微软威胁情报部门安全研究人员发现，攻击者正在散布虚假游戏工具，这些工具会在用户运行文件时安装远程访问木马（RAT）。

该攻击活动依赖于通过浏览器和聊天平台传播的木马化可执行文件，诱骗受害者下载诸如 Xeno.exe 或之 类的软件RobloxPlayerBeta.exe，这些软件乍一看似乎合法。

研究人员表示，初始文件充当下载器的角色，为攻击的下一阶段做好准备。它会安装一个可移植的 Java 运行时环境，并启动一个名为 <mamily\_java\_archive\_name> 的恶意 Java 归档文件jd-gui.jar，该文件会继续感染过程。

攻击者没有依赖显而易见的恶意软件组件，而是利用了Windows内置工具。下载器通过PowerShell运行命令，并滥用合法的系统二进制文件，例如cmstp.exe……

这些可信可执行文件，通常被称为“本地运行二进制文件”（LOLBins），允许攻击者通过Windows系统中已存在的软件执行恶意操作。这种方法降低了立即被检测到的几率，因为这种活动与正常的系统进程非常相似。

攻击链中包含的 PowerShell 脚本会尝试连接多个远程位置，并将一个可执行文件下载到用户的本地应用程序数据目录中。如果连接成功，该文件将保存update.exe并自动运行。脚本中列出的域之一包含 <domain> powercatdog，以及两个托管在PythonAnywhere上的端点。

恶意软件一旦运行，就会清除原始下载器的痕迹。它还会修改Microsoft Defender 的设置，将恶意文件添加到排除列表中。这一步骤使得远程访问木马 (RAT) 组件能够在不受安全引擎干扰的情况下运行。

根据微软公司发布的详细推文，该恶意软件还通过计划任务和名为 world.vbs 的启动脚本来实现持久化。这些条目允许恶意软件在重启后重新启动，从而使攻击者能够长期访问受感染的设备，并在设备上发出命令、收集数据并推送其他有效载荷。最终，该恶意软件集加载器、运行器、下载器和远程访问工具于一体，使攻击者能够对受感染的系统进行广泛的控制。

微软Defender已经能够检测到此次攻击活动中使用的恶意软件和行为模式。尽管如此，该公司仍建议各组织监控出站流量，并阻止与入侵指标中列出的域名和IP地址的连接。

微软敦促各公司检查 Microsoft Defender 的排除项和计划任务，查找任何异常情况。任何可疑条目都应进行审查并删除，包括启动脚本等，这是事件响应world.vbs流程的一部分。

新闻链接：

Fake Xeno and Roblox Utilities Used to Install Windows RAT, Microsoft Warns

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《微软警告：有人利用伪造的 Xeno 和 Roblox 工具安装 Windows 远程控制木马》