文章总结： 文档披露一起通过假冒MullvadVPN网站分发签名PowerShell加载器恶意软件的攻击活动。攻击者使用仿冒域名mullvad-vpn[.]us[.]org诱导用户下载受感染安装程序，恶意软件由厦门全联信息技术有限公司通过Sectigo证书签名以绕过安全检测。该恶意程序会从metrics.msft17[.]com下载混淆PowerShell脚本，并与C2服务器events[.]ms709[.]com进行编码通信，具备数据窃取和持久化能力。建议用户警惕非官方下载渠道并强化终端防护措施。 综合评分： 87 文章分类： 恶意软件,威胁情报,漏洞预警,网络安全,应用安全

假冒Mullvad VPN分发Powershell-Loader恶意软件

原创

忍者 忍者

Khan安全团队

2026年5月4日 09:37 广东

在小说阅读器读本章

去阅读

当前有一个恶意活动正在通过假冒VPN下载网站执行，伪装成合法服务。攻击者通过冒充知名的VPN提供商Mullvad VPN，分发签名的Powershell-loader恶意软件。恶意载荷通过钓鱼域名mullvad-vpn[.]us[.]org进行分发，用户被重定向到mullvad-download[.]org。该恶意网站与合法的Mullvad VPN官网非常相似，旨在欺骗用户下载被感染的安装程序。

恶意软件详情

#

该恶意软件样本被发现由Xiamen Quanlian Information Technology Co., Ltd.通过Sectigo证书进行签名。这一点非常重要，因为它表明攻击者采取了额外的措施，获取了一个合法的证书，以绕过Windows Defender SmartScreen等安全措施，这些安全措施通常会错误地标记未签名的可执行文件。

该文件是一个Windows可执行文件（Install Mullvad VPN.exe），一旦执行，就会触发从metrics.msft17[.]com/run/XYaR5gFi下载并执行一个被混淆的Powershell脚本。该Powershell脚本被精心设计，通过高级混淆技术避免被传统的安全软件检测到。

恶意软件行为与C2基础设施

#

一旦执行，恶意软件会与位于events[.]ms709[.]com的命令与控制（C2）服务器进行通信。这些C2通信采用了高度编码的形式，进一步增加了分析和检测的难度。

该恶意软件还依赖多个网页域名来促进其载荷的交付和持久性机制：

• metrics.msft17[.]com

  托管恶意的Powershell代码。

• events.ms709[.]com

  作为主要的僵尸网络C2服务器，允许远程控制并窃取敏感数据。

恶意软件分析

#

为了深入了解恶意软件的能力和策略，进行了详细的引爆分析，并在Any.Run沙箱环境中观察到以下行为：

• 混淆的Powershell执行

  恶意软件运行一个混淆的Powershell脚本，负责下载额外的载荷。

• C2通信

  恶意软件与远程服务器进行通信（通过编码的数据），以接收命令或窃取数据。

• 持久性机制

  恶意软件试图在感染的计算机上维持持久性，确保即使重启后仍能继续运行。

对用户和组织的影响

#

这种类型的恶意软件尤其危险，原因如下：

VPN服务的合法性

恶意软件伪装成一个可信赖的服务Mullvad VPN，使得攻击者更容易欺骗用户下载受感染的可执行文件。

签名恶意软件

恶意软件使用合法证书进行签名，进一步复杂化了检测工作，因为许多终端保护解决方案会忽略具有有效证书签名的文件。

C2通信

感染主机与C2服务器之间的编码通信使得传统的网络安全解决方案难以识别攻击并阻止恶意流量。

#

结论

#

这一威胁展示了攻击者如何通过社会工程和技术手段绕过安全防御。假冒的Mullvad VPN网站是一个例子，说明了攻击者如何利用用户对受欢迎的隐私保护服务的信任。通过保持警惕并实施强有力的安全措施，个人和组织可以减少受到此类攻击的风险。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Khan安全团队 忍者 忍者《假冒Mullvad VPN分发Powershell-Loader恶意软件》