本站 5 月 5 日消息，安全公司Cybereason发文透露“老牌”恶意脚本Phorpiex近日又卷土重来，成为传播LockBit 3.0勒索木**载体，感染了相应脚本的设备会自动下载运行 LockBit 木马，整个攻击流程高度自动化，无需黑客额外远程操作。

据悉，本次安全公司曝光的 Phorpiex 脚本主要以钓鱼邮件形式传播，相应邮件附带了有隐含脚本的 ZIP压缩包，用户双击运行压缩包中的.SCR文件便会启动脚本，相应脚本一经启动，将连接黑客架设的（C2）服务器，下载名为lbbb.exe的勒索木马。在下载前，脚本会先清除受害者设备上的 URL缓存记录，以保证后续重新下载不受本地缓存干扰，随后才进行一系列勒索木马部署过程。

为隐藏真实行为，相应脚本会多对关键字符串进行加密，并在运行时动态解析函数，只有在执行阶段才会解密并加载所需系统组件。所有下载文件都存放在系统临时文件夹，并以随机文件名命名，以规避特征比对安全软件扫描，在恶意木马成功部署后，相应脚本会删除来源痕迹文件，彻底抹去可供追踪的线索。

回顾这一Phorpiex脚本，该脚本于2010年首次出现，活跃于各种网络攻击场合，最早相应脚本主要是在受害者电脑上挖数字货币，近年来则是变身为其他恶意木**载体，用来自动化部署各种恶意内容。

安全公司认为，Phorpiex具备高度模块化设计，凭借自我复制、自动运行和自动清理痕迹特性，成为各路黑客常用的自动化攻击脚本。

而在 LockBit 方面，相应木马 / 黑客团队最初于2019年出现，主打“勒索即服务（本站注：Ransomware-as-a-Service）”模式，对全球多地基础设施机构进行无差别攻击以索要赎金，尽管该组织在去年初已被多国执法机构联手打击，但仍有一小撮残余黑客尚存，本次相应黑客借助Phorpiex传播LockBit 3.0，也再次印证了其卷土重来的势头。

相关阅读：

《勒索软件 LockBit 长期开发人员 Rostislav Panev 已被引渡至美国》

《美国 FBI 查封“LockBit 关联”黑客组织 Dispossessor 基础设施》