sRDI

近期，天穹沙箱分析人员在公网样本狩猎时发现一个高危样本，该样本将自身伪装为ChormeGPT_install.exe安装包，诱导用户点击执行，在安装过程中完成C2通信和持久化注册。对样本溯源后发现，有多个样本访问了相同的C2地址，并且都是以安装包的形式存在。根据攻击手法判断，这些样本均来源于银狐组织。由于这批样本中引入了一些与之前不同的攻击手段，下面我们将对该样本进行深度分析。