目前，SeroXen RAT通过网络钓鱼电子邮件或Discord渠道提供。隐秘的SeroXen RAT可用作Windows 11和10的合法RAT，每月只需15-30美元，而购买者只需支付60美元即可获得终身许可证。

无文件RAT（远程访问木马）已成为网络犯罪分子针对游戏玩家的首选工具。根据AT&T的一份报告，该恶意软件被称为SeroXen，作为合法程序在黑客论坛和社交媒体上分发。

SeroXen RAT在静态和动态分析方面具有出色的检测规避能力。由于它是由不同的开源项目组合而成的，包括r77-rootkit、Quasar RAT和NirCmd，它的功能得到进一步增强，使其成为一个强大的RAT。

供您参考，Quasar RAT是2014年发现的轻量级远程管理工具，可在GitHub上免费获得。Quasar的最新版本(1.41)具有远程桌面、反向代理、TLS通信、远程shell和文件管理系统等多种功能。

相反，开源r77 rootkit还具有无文件持久性、内存进程注入、恶意软件嵌入、子进程挂钩和防病毒规避功能。NirCmd 是一个免费软件实用程序，只能从命令行执行Windows系统管理任务。

SeroXen RAT通过网络钓鱼电子邮件或Discord渠道提供。攻击场景涉及下载一个ZIP文件和一个隐藏的批处理文件。这个文件是自动执行的，经过几个步骤，最终的有效载荷最终被安装为两个.NET数组。其中之一是rootkit，具有多种功能，例如无文件持久性、EDR规避、内存进程注入和函数挂钩。

隐秘的SeroXen恶意软件可用作Windows 11和10的合法RAT，每月只需15-30美元，而购买者只需支付60美元即可获得终身许可证。这种RAT可能以如此低的成本对威胁行为者非常有吸引力。

目前尚不清楚那些出售恶意软件的人是SeroXen的开发商还是经销商。尽管如此，根据AT&T的博客文章，自该恶意软件于2022年9月首次出现以来，该公司分析了数百个样本，游戏社区是主要目标。

然而，鉴于SeroXen的易用性和低成本，攻击者可能会扩大攻击范围。观看网络安全研究人员Cyber​​Sec Zaado公开SeroXen RAT并从防御角度提醒社区注意其功能。

研究人员指出，目前没有反恶意软件工具可以检测到这种恶意软件，这就是为什么研究人员将其称为“完全无法检测的版本”。

“由于RAT被打包到一个混淆的PowerShell批处理文件中。该文件的大小通常在12-14兆字节之间，正如我们在5月21日上传到VT的样本8ace121fae472cc7ce896c91a3f1743d5ccc8a389bc3152578c4782171c69e87中看到的那样。由于其相对较大的大小，某些防病毒软件可能会选择不分析它，从而可能绕过检测，”AT&T Alien实验室报告读。

AT&T研究人员分析的样本在Virus Total上的检测为0，而一些众包Sigma Rules将其检测为可疑活动。然而，由于它是一种无生命的恶意软件，经过多次解压和解密程序后会在内存中执行，因此防病毒解决方案很难检测到它。

此外，SeroXen的工具包加载了一个新的ntdll.dll副本，这使得通过EDR（端点检测和响应）解决方案检测恶意软件变得更加困难。