俄语黑客组织伪装 WebEx、Zoom 安装包传播 Starland RAT,目标指向凭据与加密资产
据 BleepingComputer 2026 年 7 月 16 日报道,一个以经济利益为动机的俄罗斯威胁行为者 UAT-11795,正在利用被木马化的 WebEx、Zoom 等会议软件安装程序传播新型后门 Starland RAT。来源显示,该攻击活动的核心目的包括窃取账号凭据与加密货币相关资产。对于经常依赖跨境协作工具、远程会议平台和海外账号体系的用户而言,这类伪装成常用办公软件的攻击,比单纯的钓鱼邮件更具迷惑性,也更容易影响企业远程办公、个人资产安全和平台账号稳定性。
伪装成常用会议软件,风险不止在“下载安装到恶意程序”
WebEx、Zoom 是跨境办公、海外客户沟通、线上课程和远程面试中常见的工具。攻击者选择这类软件作为伪装载体,说明其目标并不局限于技术人员,而是面向更广泛的办公与商务人群。用户一旦从非官方渠道下载到被篡改的安装包,可能在正常打开软件或以为安装失败的同时,让后门程序进入设备。
来源提到的 Starland RAT 属于远程访问类木马,RAT 的危险性在于攻击者可能获得持续控制能力,并围绕设备中的浏览器、会话、钱包环境和文件资料展开进一步窃取。对跨境用户来说,浏览器里保存的海外平台登录状态、邮箱账号、支付平台凭据和加密钱包信息都可能成为高价值目标。
对跨境账号、支付与远程办公的实际影响
这类攻击与普通“账号被盗”不同,它往往从终端环境入手。即使用户开启了复杂密码,如果本地设备已经被植入后门,攻击者仍可能通过会话劫持、读取本地数据或监控输入等方式扩大损害。对于使用海外 SaaS、广告平台、收款账户、交易所或钱包插件的用户,风险会进一步放大。
- 海外平台账号:邮箱、会议平台、云盘、客服系统、广告后台等账号可能因凭据泄露被接管。
- 支付与加密资产:若设备中存在钱包助记词、私钥文件、交易所登录信息或支付后台会话,可能面临资产转移风险。
- 远程办公环境:企业内部文档、会议链接、客户资料和协作平台权限可能被滥用。
- 访问环境信任度:被感染设备登录平台后,可能触发异常风控,导致账号验证、冻结或权限受限。
尤其需要注意的是,跨境用户常因地区访问限制、会议紧急性或软件下载速度问题,去搜索“离线安装包”“加速版”“破解版”“免登录版”等资源。此类非官方下载路径正是木马化软件传播的常见入口之一。VPN、代理或加速工具只能改善网络连通性,不能替代软件来源校验与终端安全防护。
为什么会议软件会成为攻击入口
会议软件具备两个特点:一是使用频率高,二是安装权限通常较高。远程会议场景中,用户常会在对方催促下临时安装软件或更新客户端,安全判断时间被压缩。攻击者利用这种“时间压力”和“软件可信度”,将恶意程序包装成业务必需工具,从而降低受害者警惕。
此外,WebEx、Zoom 这类品牌本身具有较强可信度。普通用户很难仅凭文件名或图标判断真伪。如果下载页面、安装界面或文件命名被仿冒得足够接近,就可能绕过用户的直觉防线。因此,防护重点不应只放在“看到可疑文件才警惕”,而要前置到下载渠道和设备权限管理。
跨境用户可立即采取的防护措施
- 只从 WebEx、Zoom 官方网站或可信应用商店下载客户端,避免使用第三方网盘、论坛、广告页提供的安装包。
- 对会议邀请中的软件下载链接保持谨慎,尤其是陌生客户、临时面试或社群消息发来的链接。
- 重要海外账号启用双重验证,并优先使用独立验证器或硬件密钥,减少单一密码泄露后的损失。
- 不要在办公电脑明文保存钱包助记词、私钥、交易所备份码或支付后台恢复信息。
- 如近期安装过来源不明的会议软件,应尽快进行安全扫描,并检查邮箱、支付、云服务和协作平台的登录记录。
总体来看,UAT-11795 利用木马化 WebEx、Zoom 推送 Starland RAT 的事件,再次提醒跨境办公用户:安全风险已经从“网络是否能访问”扩展到“访问环境是否可信”。在远程协作成为常态的背景下,软件来源、终端安全、账号验证和支付资产隔离应同时纳入日常风控,而不是等到账户异常或资产损失后再补救。