网络安全研究人员近日发现,2025年针对沙特阿拉伯和巴西组织的恶意软件活动出现新策略,攻击者利用微软帮助索引文件(.mshi)传播“PipeMagic”后门。当受害者执行此类文件时,会触发一个感染链:系统命令行工具启动微软的MSBuild框架,进而执行恶意代码。该代码使用RC4算法及硬编码密钥解密内嵌的shellcode,并通过特定Windows API函数(EnumDisplayMonitors)执行。该shellcode采用复杂技术动态解析系统API地址以规避检测,最终在受感染系统上加载并部署PipeMagic后门。
